Práticas recomendadas operacionais para o perfil de controle de nuvem médio do Canadian Centre for Cyber Security (CCCS)

Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.

A tabela abaixo apresenta um exemplo de mapeamento entre o perfil médio do Cloud Control do Canadian Centre for Cyber Security (CCCS) e as regras gerenciadas do AWS Config. Cada regra do Config se aplica a um recurso específico da AWS e está relacionada a um ou mais controles de perfil médio do Cloud Control do CCCS. Um controle de perfil médio do Cloud Profile do CCCS pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.

ID de controle	Descrição do controle	Regra do AWS Config	Orientação
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2(1)	Gerenciamento de contas do AC-2(1) \| Gerenciamento automatizado de contas do sistema	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2(3)	Gerenciamento de contas do AC-2(3) \| Desativação de contas inativas	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2(3)	Gerenciamento de contas do AC-2(3) \| Desativação de contas inativas	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2(4)	Gerenciamento de contas do AC-2(4) \| Ações de auditoria automatizadas	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AC-2(4)	Gerenciamento de contas do AC-2(4) \| Ações de auditoria automatizadas	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AC-2(4)	Gerenciamento de contas do AC-2(4) \| Ações de auditoria automatizadas	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2(4)	Gerenciamento de contas do AC-2(4) \| Ações de auditoria automatizadas	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2(4)	Gerenciamento de contas do AC-2(4) \| Ações de auditoria automatizadas	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AC-2(4)	Gerenciamento de contas do AC-2(4) \| Ações de auditoria automatizadas	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2(4)	Gerenciamento de contas do AC-2(4) \| Ações de auditoria automatizadas	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.A	Gerenciamento de contas do AC-2.A	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.B	Gerenciamento de contas do AC-2.B	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.C	Gerenciamento de contas do AC-2.C	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.D	Gerenciamento de contas do AC-2.D	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.E	Gerenciamento de contas do AC-2.E	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.F	Gerenciamento de contas do AC-2.F	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.G	Gerenciamento de contas do AC-2.G	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.H	Gerenciamento de contas do AC-2.H	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.I	Gerenciamento de contas do AC-2.I	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.J	Gerenciamento de contas do AC-2.J	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-2.K	Gerenciamento de contas do AC-2.K	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-3.A	Fiscalização de acesso do AC-3.A	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4(21)	Fiscalização de fluxo de informações do AC-4(21) \| Separação física ou lógica dos fluxos de informações	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-AC-4.A	Fiscalização de fluxo de informações do AC-4.A	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-AC-5.A	Separação de deveres do AC-5.A	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-5.A	Separação de deveres do AC-5.A	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-5.A	Separação de deveres do AC-5.A	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-5.A	Separação de deveres do AC-5.A	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-5.A	Separação de deveres do AC-5.A	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-6(1)	Privilégio mínimo do AC-6(1) \| Autorização do acesso às funções de segurança	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-6(1)	Privilégio mínimo do AC-6(1) \| Autorização do acesso às funções de segurança	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-6(1)	Privilégio mínimo do AC-6(1) \| Autorização do acesso às funções de segurança	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-AC-6(1)	Privilégio mínimo do AC-6(1) \| Autorização do acesso às funções de segurança	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-6(1)	Privilégio mínimo do AC-6(1) \| Autorização do acesso às funções de segurança	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-AC-6(2)	Privilégio mínimo do AC-6(2) \| Acesso não privilegiado para funções não relacionadas à segurança	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-6(2)	Privilégio mínimo do AC-6(2) \| Acesso não privilegiado para funções não relacionadas à segurança	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-6(2)	Privilégio mínimo do AC-6(2) \| Acesso não privilegiado para funções não relacionadas à segurança	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-AC-6(2)	Privilégio mínimo do AC-6(2) \| Acesso não privilegiado para funções não relacionadas à segurança	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-6(2)	Privilégio mínimo do AC-6(2) \| Acesso não privilegiado para funções não relacionadas à segurança	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-AC-6(5)	Privilégio mínimo do AC-6(5) \| Contas privilegiadas	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-6(5)	Privilégio mínimo do AC-6(5) \| Contas privilegiadas	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-AC-6(5)	Privilégio mínimo do AC-6(5) \| Contas privilegiadas	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-6(5)	Privilégio mínimo do AC-6(5) \| Contas privilegiadas	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-AC-6(9)	Privilégio mínimo do AC-6(9) \| Auditoria do uso de funções privilegiadas	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AC-6(9)	Privilégio mínimo do AC-6(9) \| Auditoria do uso de funções privilegiadas	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AC-6(9)	Privilégio mínimo do AC-6(9) \| Auditoria do uso de funções privilegiadas	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-6(9)	Privilégio mínimo do AC-6(9) \| Auditoria do uso de funções privilegiadas	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AC-6(9)	Privilégio mínimo do AC-6(9) \| Auditoria do uso de funções privilegiadas	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AC-6(9)	Privilégio mínimo do AC-6(9) \| Auditoria do uso de funções privilegiadas	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-6(9)	Privilégio mínimo do AC-6(9) \| Auditoria do uso de funções privilegiadas	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-FPBMM-AC-6(10)	Privilégio mínimo do AC-6(10) \| Proibição de usuários não privilegiados de executar funções privilegiadas	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-FPBMM-AC-6(10)	Privilégio mínimo do AC-6(10) \| Proibição de usuários não privilegiados de executar funções privilegiadas	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-FPBMM-AC-6(10)	Privilégio mínimo do AC-6(10) \| Proibição de usuários não privilegiados de executar funções privilegiadas	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-FPBMM-AC-6(10)	Privilégio mínimo do AC-6(10) \| Proibição de usuários não privilegiados de executar funções privilegiadas	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-FPBMM-AC-6(10)	Privilégio mínimo do AC-6(10) \| Proibição de usuários não privilegiados de executar funções privilegiadas	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-6.A	Privilégio mínimo do AC-6.A	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-AC-17(1)	Acesso remoto do AC-17(1) \| Monitoramento e controle automatizados	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AC-17(2)	Acesso remoto do AC-17(2) \| Proteção de confidencialidade e integridade usando criptografia	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-17(2)	Acesso remoto do AC-17(2) \| Proteção de confidencialidade e integridade usando criptografia	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-AC-17(2)	Acesso remoto do AC-17(2) \| Proteção de confidencialidade e integridade usando criptografia	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-AC-17(2)	Acesso remoto do AC-17(2) \| Proteção de confidencialidade e integridade usando criptografia	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-AC-17(2)	Acesso remoto do AC-17(2) \| Proteção de confidencialidade e integridade usando criptografia	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-17(2)	Acesso remoto do AC-17(2) \| Proteção de confidencialidade e integridade usando criptografia	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-AC-17(3)	Acesso remoto do AC-17(3) \| Pontos de controle de acesso gerenciado	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-AC-17(4)	Acesso remoto do AC-17(4) \| Comandos e acesso privilegiados	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-AC-17(4)	Acesso remoto do AC-17(4) \| Comandos e acesso privilegiados	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-17(4)	Acesso remoto do AC-17(4) \| Comandos e acesso privilegiados	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-AC-17.A	Acesso remoto do AC-17.A	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-AC-17.AA	Acesso remoto do AC-17.AA	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-AC-17.B	Acesso remoto do AC-17.B	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-2.A	Eventos de auditoria do AU-2.A	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-2.B	Eventos de auditoria do AU-2.B	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-2.C	Eventos de auditoria do AU-2.C	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-2.D	Eventos de auditoria do AU-2.D	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AU-3(1)	Conteúdo dos registros de auditoria do AU-3(1) \| Informações adicionais de auditoria	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-3(1)	Conteúdo dos registros de auditoria do AU-3(1) \| Informações adicionais de auditoria	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-3(1)	Conteúdo dos registros de auditoria do AU-3(1) \| Informações adicionais de auditoria	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-3(1)	Conteúdo dos registros de auditoria do AU-3(1) \| Informações adicionais de auditoria	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-3(1)	Conteúdo dos registros de auditoria do AU-3(1) \| Informações adicionais de auditoria	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-3(1)	Conteúdo dos registros de auditoria do AU-3(1) \| Informações adicionais de auditoria	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-3(1)	Conteúdo dos registros de auditoria do AU-3(1) \| Informações adicionais de auditoria	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-3(1)	Conteúdo dos registros de auditoria do AU-3(1) \| Informações adicionais de auditoria	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	elasticsearch-logs-to-cloudwatch	Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	opensearch-logs-to-cloudwatch	Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-3.A	Conteúdo dos registros de auditoria do AU-3.A	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AU-5.A	Resposta a falhas de processamento de auditoria do AU-5.A	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-AU-5.B	Resposta a falhas de processamento de auditoria do AU-5.B	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-AU-6(1)	Revisão, análise e geração de relatórios de auditoria do AU-6(1) \| Integração de processos	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-AU-6(1)	Revisão, análise e geração de relatórios de auditoria do AU-6(1) \| Integração de processos	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-6(1)	Revisão, análise e geração de relatórios de auditoria do AU-6(1) \| Integração de processos	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-6(1)	Revisão, análise e geração de relatórios de auditoria do AU-6(1) \| Integração de processos	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-AU-6(1)	Revisão, análise e geração de relatórios de auditoria do AU-6(1) \| Integração de processos	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-6(1)	Revisão, análise e geração de relatórios de auditoria do AU-6(1) \| Integração de processos	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	elasticsearch-logs-to-cloudwatch	Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	opensearch-logs-to-cloudwatch	Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-6(3)	Revisão, análise e relatórios de auditoria do AU-6(3) \| Correlacionamento de repositórios de auditoria	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AU-7(1)	Redução de auditoria e geração de relatórios do AU-7(1) \| Processamento automático	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	elasticsearch-logs-to-cloudwatch	Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	opensearch-logs-to-cloudwatch	Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-8.B	Carimbos de data/hora do AU-8.B	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AU-9(2)	Proteção de informações de auditoria do AU-9(2) \| Backup de auditoria em sistemas ou componentes físicos separados	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-AU-9(2)	Proteção de informações de auditoria do AU-9(2) \| Backup de auditoria em sistemas ou componentes físicos separados	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-AU-9(2)	Proteção de informações de auditoria do AU-9(2) \| Backup de auditoria em sistemas ou componentes físicos separados	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-AU-9.A	Proteção de informações de auditoria do AU-9.A	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
CCCS-fPBMM-AU-9.A	Proteção de informações de auditoria do AU-9.A	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-AU-9.A	Proteção de informações de auditoria do AU-9.A	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
CCCS-fPBMM-AU-11.A	Retenção de registros de auditoria do AU-11.A	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-AU-11.B	Retenção de registros de auditoria do AU-11.B	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-AU-11.C	Retenção de registros de auditoria do AU-11.C	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	elasticsearch-logs-to-cloudwatch	Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	opensearch-logs-to-cloudwatch	Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-12.A	Geração de auditoria do AU-12.A	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-AU-12.C	Geração de auditoria do AU-12.C	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	eip-attached	Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-CA-3(5)	Interconexões do sistema do CA-3(5) \| Restrições nas conexões de rede externas	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	api-gw-xray-enabled	O AWS é um serviço que coleta dados sobre solicitações que a aplicação atende e fornece ferramentas que você pode usar para visualizar, filtrar e obter informações sobre esses dados para identificar problemas e oportunidades de otimização. Habilite o X-Ray para que você possa ver informações detalhadas não apenas sobre a solicitação e a resposta, mas também sobre chamadas que a aplicação faz para recursos da AWS, microsserviços, bancos de dados e APIs HTTP da web subsequentes.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CA-7.A	Monitoramento contínuo do CA-7.A	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	api-gw-xray-enabled	O AWS é um serviço que coleta dados sobre solicitações que a aplicação atende e fornece ferramentas que você pode usar para visualizar, filtrar e obter informações sobre esses dados para identificar problemas e oportunidades de otimização. Habilite o X-Ray para que você possa ver informações detalhadas não apenas sobre a solicitação e a resposta, mas também sobre chamadas que a aplicação faz para recursos da AWS, microsserviços, bancos de dados e APIs HTTP da web subsequentes.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	eip-attached	Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CA-7.B	Monitoramento contínuo do CA-7.B	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	api-gw-xray-enabled	O AWS é um serviço que coleta dados sobre solicitações que a aplicação atende e fornece ferramentas que você pode usar para visualizar, filtrar e obter informações sobre esses dados para identificar problemas e oportunidades de otimização. Habilite o X-Ray para que você possa ver informações detalhadas não apenas sobre a solicitação e a resposta, mas também sobre chamadas que a aplicação faz para recursos da AWS, microsserviços, bancos de dados e APIs HTTP da web subsequentes.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	eip-attached	Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CA-7.C	Monitoramento contínuo do CA-7.C	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	api-gw-xray-enabled	O AWS é um serviço que coleta dados sobre solicitações que a aplicação atende e fornece ferramentas que você pode usar para visualizar, filtrar e obter informações sobre esses dados para identificar problemas e oportunidades de otimização. Habilite o X-Ray para que você possa ver informações detalhadas não apenas sobre a solicitação e a resposta, mas também sobre chamadas que a aplicação faz para recursos da AWS, microsserviços, bancos de dados e APIs HTTP da web subsequentes.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	eip-attached	Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CA-7.D	Monitoramento contínuo do CA-7.D	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	api-gw-xray-enabled	O AWS é um serviço que coleta dados sobre solicitações que a aplicação atende e fornece ferramentas que você pode usar para visualizar, filtrar e obter informações sobre esses dados para identificar problemas e oportunidades de otimização. Habilite o X-Ray para que você possa ver informações detalhadas não apenas sobre a solicitação e a resposta, mas também sobre chamadas que a aplicação faz para recursos da AWS, microsserviços, bancos de dados e APIs HTTP da web subsequentes.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	eip-attached	Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CA-7.E	Monitoramento contínuo do CA-7.E	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	api-gw-xray-enabled	O AWS é um serviço que coleta dados sobre solicitações que a aplicação atende e fornece ferramentas que você pode usar para visualizar, filtrar e obter informações sobre esses dados para identificar problemas e oportunidades de otimização. Habilite o X-Ray para que você possa ver informações detalhadas não apenas sobre a solicitação e a resposta, mas também sobre chamadas que a aplicação faz para recursos da AWS, microsserviços, bancos de dados e APIs HTTP da web subsequentes.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	eip-attached	Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CA-7.F	Monitoramento contínuo do CA-7.F	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	api-gw-xray-enabled	O AWS é um serviço que coleta dados sobre solicitações que a aplicação atende e fornece ferramentas que você pode usar para visualizar, filtrar e obter informações sobre esses dados para identificar problemas e oportunidades de otimização. Habilite o X-Ray para que você possa ver informações detalhadas não apenas sobre a solicitação e a resposta, mas também sobre chamadas que a aplicação faz para recursos da AWS, microsserviços, bancos de dados e APIs HTTP da web subsequentes.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	eip-attached	Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CA-7.G	Monitoramento contínuo do CA-7.G	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-CA-9.A	Conexões internas do sistema do CA-9.A	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-CM-2.A	Configuração de referência do CM-2.A	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-2.A	Configuração de referência do CM-2.A	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-2.A	Configuração de referência do CM-2.A	ec2-stopped-instance	Habilite essa regra para ajudar na configuração básica das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) verificando se essas instâncias do Amazon EC2 foram interrompidas por mais dias do que o permitido pelos padrões da organização.
CCCS-fPBMM-CM-2.A	Configuração de referência do CM-2.A	ec2-volume-inuse-check	Essa regra garante que os volumes do Amazon Elastic Block Store que estão anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância é encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está anexado for encerrada, ele poderá violar o conceito de funcionalidade mínima.
CCCS-fPBMM-CM-2.A	Configuração de referência do CM-2.A	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CM-2.A	Configuração de referência do CM-2.A	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-2.A	Configuração de referência do CM-2.A	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-3.A	Controle de alteração de configuração do CM-3.A	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CM-3.A	Controle de alteração de configuração do CM-3.A	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-3.B	Controle de alteração de configuração do CM-3.B	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CM-3.B	Controle de alteração de configuração do CM-3.B	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-3.C	Controle de alteração de configuração do CM-3.C	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CM-3.C	Controle de alteração de configuração do CM-3.C	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-3.D	Controle de alteração de configuração do CM-3.D	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CM-3.D	Controle de alteração de configuração do CM-3.D	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-3.E	Controle de alteração de configuração do CM-3.E	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CM-3.E	Controle de alteração de configuração do CM-3.E	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-3.F	Controle de alteração de configuração do CM-3F	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CM-3.F	Controle de alteração de configuração do CM-3F	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-3.G	Controle de alteração de configuração do CM-3.G	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CM-3.G	Controle de alteração de configuração do CM-3.G	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	secretsmanager-rotation-enabled-check	Essa regra garante que os segredos do AWS Secrets Manager tenham a alternância habilitada. A alternância de segredos em uma programação regular pode reduzir o período em que um segredo fica ativo, além de diminuir o impacto nos negócios, se o segredo for comprometido.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	secretsmanager-scheduled-rotation-success-check	Essa regra garante que os segredos do AWS Secrets Manager sejam alternados com sucesso de acordo com a programação de alternância. A alternância de segredos em uma programação regular pode reduzir o período em que um segredo fica ativo e, possivelmente, diminuir o impacto nos negócios se ele for comprometido.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CM-5(1)	Restrições de acesso para alterações do CM-5(1) \| Fiscalização e auditoria automatizadas de acesso	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-CM-5(5)	Restrições de acesso para mudanças CM-5(5) \| Limite de produção e privilégios operacionais	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-CM-5.A	Restrições de acesso para alterações do CM-5.A	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6(1)	Definições de configuração do CM-6(1) \| Gerenciamento, aplicação e verificação central automatizados	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-6(1)	Definições de configuração do CM-6(1) \| Gerenciamento, aplicação e verificação central automatizados	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-6(1)	Definições de configuração do CM-6(1) \| Gerenciamento, aplicação e verificação central automatizados	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	cmk-backing-key-rotation-enabled	Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-CM-6.A	Definições de configuração do CM-6.A	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	cmk-backing-key-rotation-enabled	Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-CM-6.B	Definições de configuração do CM-6.B	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	cmk-backing-key-rotation-enabled	Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-CM-6.C	Definições de configuração do CM-6.C	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	cmk-backing-key-rotation-enabled	Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-CM-6.D	Definições de configuração do CM-6.D	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-CM-7.A	Funcionalidade mínima do CM-7.A	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-CM-7.A	Funcionalidade mínima do CM-7.A	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-7.B	Funcionalidade mínima do CM-7.B	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-CM-7.B	Funcionalidade mínima do CM-7.B	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CM-8(1)	Inventário de componentes do sistema de informações do CM-8(1) \| Atualizações durante instalações ou remoções	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-8(1)	Inventário de componentes do sistema de informações do CM-8(1) \| Atualizações durante instalações ou remoções	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-8(2)	Inventário de componentes do sistema de informações do CM-8(2) \| Manutenção automatizada	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-8(2)	Inventário de componentes do sistema de informações do CM-8(2) \| Manutenção automatizada	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-8(3)	Inventário de componentes do sistema de informações do CM-8(3) \| Detecção automatizada de componentes não autorizados	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-8(3)	Inventário de componentes do sistema de informações do CM-8(3) \| Detecção automatizada de componentes não autorizados	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-8(3)	Inventário de componentes do sistema de informações do CM-8(3) \| Detecção automatizada de componentes não autorizados	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-CM-8(3)	Inventário de componentes do sistema de informações do CM-8(3) \| Detecção automatizada de componentes não autorizados	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-CM-8.A	Inventário de componentes do sistema de informações do CM-8.A	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-8.A	Inventário de componentes do sistema de informações do CM-8.A	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-8.B	Inventário de componentes do sistema de informações do CM-8.B	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-8.B	Inventário de componentes do sistema de informações do CM-8.B	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-8.C	Inventário de componentes do sistema de informações do CM-8.C	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-8.C	Inventário de componentes do sistema de informações do CM-8.C	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-8.D	Inventário de componentes do sistema de informações do CM-8.D	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-8.D	Inventário de componentes do sistema de informações do CM-8.D	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CM-8.E	Inventário de componentes do sistema de informações do CM-8.E	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-CM-8.E	Inventário de componentes do sistema de informações do CM-8.E	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	rds-cluster-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-2(5)	Plano de contingência do CP-2(5) \| Continuar com missões essenciais e funções de negócios	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-2(6)	Plano de contingência do CP-2(6) \| Local alternativo de processamento ou armazenamento	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2(6)	Plano de contingência do CP-2(6) \| Local alternativo de processamento ou armazenamento	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2(6)	Plano de contingência do CP-2(6) \| Local alternativo de processamento ou armazenamento	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CP-2(6)	Plano de contingência do CP-2(6) \| Local alternativo de processamento ou armazenamento	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2(6)	Plano de contingência do CP-2(6) \| Local alternativo de processamento ou armazenamento	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2(6)	Plano de contingência do CP-2(6) \| Local alternativo de processamento ou armazenamento	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-2.A	Plano de contingência do CP-2.A	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2.A	Plano de contingência do CP-2.A	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2.A	Plano de contingência do CP-2.A	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.A	Plano de contingência do CP-2.A	rds-cluster-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.A	Plano de contingência do CP-2.A	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.A	Plano de contingência do CP-2.A	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.A	Plano de contingência do CP-2.A	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.A	Plano de contingência do CP-2.A	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-2.B	Plano de contingência do CP-2.B	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2.B	Plano de contingência do CP-2.B	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2.B	Plano de contingência do CP-2.B	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.B	Plano de contingência do CP-2.B	rds-cluster-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.B	Plano de contingência do CP-2.B	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.B	Plano de contingência do CP-2.B	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.B	Plano de contingência do CP-2.B	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.B	Plano de contingência do CP-2.B	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-2.C	Plano de contingência do CP-2.C	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2.C	Plano de contingência do CP-2.C	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2.C	Plano de contingência do CP-2.C	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.C	Plano de contingência do CP-2.C	rds-cluster-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.C	Plano de contingência do CP-2.C	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.C	Plano de contingência do CP-2.C	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.C	Plano de contingência do CP-2.C	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.C	Plano de contingência do CP-2.C	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-2.D	Plano de contingência do CP-2.D	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2.D	Plano de contingência do CP-2.D	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2.D	Plano de contingência do CP-2.D	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.D	Plano de contingência do CP-2.D	rds-cluster-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.D	Plano de contingência do CP-2.D	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.D	Plano de contingência do CP-2.D	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.D	Plano de contingência do CP-2.D	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.D	Plano de contingência do CP-2.D	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-2.E	Plano de contingência do CP-2.E	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2.E	Plano de contingência do CP-2.E	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2.E	Plano de contingência do CP-2.E	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.E	Plano de contingência do CP-2.E	rds-cluster-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.E	Plano de contingência do CP-2.E	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.E	Plano de contingência do CP-2.E	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.E	Plano de contingência do CP-2.E	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.E	Plano de contingência do CP-2.E	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-2.F	Plano de contingência do CP-2.F	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2.F	Plano de contingência do CP-2.F	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2.F	Plano de contingência do CP-2.F	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.F	Plano de contingência do CP-2.F	rds-cluster-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.F	Plano de contingência do CP-2.F	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.F	Plano de contingência do CP-2.F	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.F	Plano de contingência do CP-2.F	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.F	Plano de contingência do CP-2.F	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-2.G	Plano de contingência do CP-2.G	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-2.G	Plano de contingência do CP-2.G	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-2.G	Plano de contingência do CP-2.G	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.G	Plano de contingência do CP-2.G	rds-cluster-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.G	Plano de contingência do CP-2.G	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.G	Plano de contingência do CP-2.G	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-CP-2.G	Plano de contingência do CP-2.G	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-2.G	Plano de contingência do CP-2.G	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-6(1)	Local de armazenamento alternativo do CP-6(1) \| Separação do local primário	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-6(2)	Local de armazenamento alternativo do CP-6(2) \| Tempos de recuperação e objetivos pontuais	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-6.A	Local de armazenamento alternativo do CP-6.A	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-6.B	Local de armazenamento alternativo do CP-6.B	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-9(3)	Backup do sistema de informações do CP-9(3) \| Armazenamento separado para informações essenciais	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-9(7)	Backup do sistema de informações do CP-9(7) \| Autorização dupla	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-9(7)	Backup do sistema de informações do CP-9(7) \| Autorização dupla	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-9.A	Backup do sistema de informações do CP-9.A	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-9.AA	Backup do sistema de informações do CP-9.B	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-9.B	Backup do sistema de informações do CP-9.C	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-9.C	Backup do sistema de informações do CP-9.D	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	aurora-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	backup-recovery-point-manual-deletion-disabled	Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	backup-recovery-point-minimum-retention-check	Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	dynamodb-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	ebs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	ec2-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	efs-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	fsx-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	rds-resources-protected-by-backup-plan	Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-9.D	Backup do sistema de informações do CP-9.E	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
CCCS-fPBMM-CP-10.A	Recuperação e reconstituição do sistema de informações do CP-10.A	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-IA-2(1)	Identificação e autenticação do IA-2(1) (usuários organizacionais) \| Acesso de rede a contas privilegiadas	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-2(1)	Identificação e autenticação do IA-2(1) (usuários organizacionais) \| Acesso de rede a contas privilegiadas	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-2(1)	Identificação e autenticação do IA-2(1) (usuários organizacionais) \| Acesso de rede a contas privilegiadas	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-2(3)	Identificação e autenticação do IA-2(3) (usuários organizacionais) \| Acesso local a contas privilegiadas	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-2(3)	Identificação e autenticação do IA-2(3) (usuários organizacionais) \| Acesso local a contas privilegiadas	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-2(3)	Identificação e autenticação do IA-2(3) (usuários organizacionais) \| Acesso local a contas privilegiadas	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-2(8)	Identificação e autenticação do IA-2(8) (usuários organizacionais) \| Acesso de rede a contas privilegiadas: resistente à repetição	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-2(8)	Identificação e autenticação do IA-2(8) (usuários organizacionais) \| Acesso de rede a contas privilegiadas: resistente à repetição	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-2(8)	Identificação e autenticação do IA-2(8) (usuários organizacionais) \| Acesso de rede a contas privilegiadas: resistente à repetição	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-2(11)	Identificação e autenticação do IA-2(11) (usuários organizacionais) \| Acesso remoto: dispositivo separado	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-2(11)	Identificação e autenticação do IA-2(11) (usuários organizacionais) \| Acesso remoto: dispositivo separado	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-2(11)	Identificação e autenticação do IA-2(11) (usuários organizacionais) \| Acesso remoto: dispositivo separado	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-2.A	Identificação e autenticação do IA-2.A (usuários organizacionais)	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-2.A	Identificação e autenticação do IA-2.A (usuários organizacionais)	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-2.A	Identificação e autenticação do IA-2.A (usuários organizacionais)	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-2.A	Identificação e autenticação do IA-2.A (usuários organizacionais)	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-4(4)	Gerenciamento de identificadores do IA-4(4) \| Identificação do status do usuário	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-IA-4.A	Gerenciamento de identificadores do IA-4.A	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-IA-4.A	Gerenciamento de identificadores do IA-4.A	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-4.A	Gerenciamento de identificadores do IA-4.A	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-IA-4.B	Gerenciamento de identificadores do IA-4.B	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-IA-4.B	Gerenciamento de identificadores do IA-4.B	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-4.B	Gerenciamento de identificadores do IA-4.B	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-IA-4.C	Gerenciamento de identificadores do IA-4.C	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-IA-4.C	Gerenciamento de identificadores do IA-4.C	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-4.C	Gerenciamento de identificadores do IA-4.C	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-IA-4.D	Gerenciamento de identificadores do IA-4.D	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-IA-4.D	Gerenciamento de identificadores do IA-4.D	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-4.D	Gerenciamento de identificadores do IA-4.D	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-IA-4.E	Gerenciamento de identificadores do IA-4.E	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-IA-4.E	Gerenciamento de identificadores do IA-4.E	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-4.E	Gerenciamento de identificadores do IA-4.E	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-IA-5(1)	Gerenciamento de autenticadores do IA-5(1) \| Autenticação baseada em senha	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5(2)	Gerenciamento de autenticadores do IA-5(2) \| Autenticação baseada em PKI	elbv2-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-IA-5(2)	Gerenciamento de autenticadores do IA-5(2) \| Autenticação baseada em PKI	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-IA-5(4)	Gerenciamento de autenticadores do IA-5(4) \| Suporte automatizado para determinação do nível de segurança de senha	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5(8)	Gerenciamento de autenticadores do IA-5(8) \| Várias contas do sistema de informações	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-IA-5(8)	Gerenciamento de autenticadores do IA-5(8) \| Várias contas do sistema de informações	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5(8)	Gerenciamento de autenticadores do IA-5(8) \| Várias contas do sistema de informações	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.A	Gerenciamento de autenticadores do IA-5.A	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.A	Gerenciamento de autenticadores do IA-5.A	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.A	Gerenciamento de autenticadores do IA-5.A	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.A	Gerenciamento de autenticadores do IA-5.A	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-5.B	Gerenciamento de autenticadores do IA-5.B	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.B	Gerenciamento de autenticadores do IA-5.B	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.B	Gerenciamento de autenticadores do IA-5.B	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.B	Gerenciamento de autenticadores do IA-5.B	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-5.C	Gerenciamento de autenticadores do IA-5.C	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.C	Gerenciamento de autenticadores do IA-5.C	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.C	Gerenciamento de autenticadores do IA-5.C	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.C	Gerenciamento de autenticadores do IA-5.C	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-5.D	Gerenciamento de autenticadores do IA-5.D	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.D	Gerenciamento de autenticadores do IA-5.D	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.D	Gerenciamento de autenticadores do IA-5.D	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.D	Gerenciamento de autenticadores do IA-5.D	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-FPBMM-IA-5.e	Gerenciamento de autenticadores do IA-5.E	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-FPBMM-IA-5.e	Gerenciamento de autenticadores do IA-5.E	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-FPBMM-IA-5.e	Gerenciamento de autenticadores do IA-5.E	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-FPBMM-IA-5.e	Gerenciamento de autenticadores do IA-5.E	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-5.F	Gerenciamento de autenticadores do IA-5.F	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.F	Gerenciamento de autenticadores do IA-5.F	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.F	Gerenciamento de autenticadores do IA-5.F	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.F	Gerenciamento de autenticadores do IA-5.F	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-5.G	Gerenciamento de autenticadores do IA-5.G	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.G	Gerenciamento de autenticadores do IA-5.G	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.G	Gerenciamento de autenticadores do IA-5.G	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.G	Gerenciamento de autenticadores do IA-5.G	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-5.H	Gerenciamento de autenticadores do IA-5.H	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.H	Gerenciamento de autenticadores do IA-5.H	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.H	Gerenciamento de autenticadores do IA-5.H	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.H	Gerenciamento de autenticadores do IA-5.H	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-5.I	Gerenciamento de autenticadores do IA-5.I	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.I	Gerenciamento de autenticadores do IA-5.I	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.I	Gerenciamento de autenticadores do IA-5.I	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.I	Gerenciamento de autenticadores do IA-5.I	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IA-5.J	Gerenciamento de autenticadores do IA-5.J	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-IA-5.J	Gerenciamento de autenticadores do IA-5.J	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
CCCS-fPBMM-IA-5.J	Gerenciamento de autenticadores do IA-5.J	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-IA-5.J	Gerenciamento de autenticadores do IA-5.J	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
CCCS-fPBMM-IR-6(1)	Relatório de incidentes do IR-6(1) \| Geração automatizada de relatórios	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-MA-3.A	Ferramentas de manutenção do MA-3.A	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-MA-3.A	Ferramentas de manutenção do MA-3.A	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-MA-4(1)	Manutenção não local do MA-4(1) \| Auditoria e análise	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	ecs-task-definition-user-for-host-mode-check	Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-MP-2.A	Acesso à mídia do MP-2.A	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-RA-5.A	Verificação de vulnerabilidades do RA-5.A	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-RA-5.B	Verificação de vulnerabilidades do RA-5.B	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-RA-5.C	Verificação de vulnerabilidades do RA-5.C	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-RA-5.D	Verificação de vulnerabilidades do RA-5.D	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-RA-5.E	Verificação de vulnerabilidades do RA-5.E	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SA-10(1)	Gerenciamento de configuração para desenvolvedores do SA-10(1) \| Verificação de integridade de software e firmware	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SC-5.A	Proteção contra negação de serviço do SC-5.A	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
CCCS-fPBMM-SC-5.A	Proteção contra negação de serviço do SC-5.A	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SC-6.A	Disponibilidade de recursos do SC-6.A	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-SC-6.A	Disponibilidade de recursos do SC-6.A	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-SC-6.A	Disponibilidade de recursos do SC-6.A	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
CCCS-fPBMM-SC-6.A	Disponibilidade de recursos do SC-6.A	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-6.A	Disponibilidade de recursos do SC-6.A	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
CCCS-fPBMM-SC-6.A	Disponibilidade de recursos do SC-6.A	rds-cluster-multi-az-enabled	Os clusters do Amazon Relational Database Service (Amazon RDS) devem ter a replicação multi-AZ habilitada para auxiliar na disponibilidade dos dados armazenados. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-SC-6.A	Disponibilidade de recursos do SC-6.A	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
CCCS-fPBMM-SC-6.A	Disponibilidade de recursos do SC-6.A	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-SC-7(3)	Proteção de limites do SC-7(3) \| Pontos de acesso	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-SC-7(4)	Proteção de limites do SC-7(4) \| Serviços externos de telecomunicações	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-SC-7(5)	Proteção de limites do SC-7(5) \| Negação por padrão e permissão por exceção	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-SC-7(5)	Proteção de limites do SC-7(5) \| Negação por padrão e permissão por exceção	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7(5)	Proteção de limites do SC-7(5) \| Negação por padrão e permissão por exceção	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-SC-7(5)	Proteção de limites do SC-7(5) \| Negação por padrão e permissão por exceção	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-SC-7(7)	Proteção de limite do SC-7(7) \| Prevenção de tunelamento dividido em dispositivos remotos	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-SC-7.A	Proteção de limites do SC-7.A	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-SC-7.B	Proteção de limites do SC-7.B	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	s3-bucket-level-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CCCS-fPBMM-SC-7.C	Proteção de limites do SC-7.C	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8(1)	Confidencialidade e integridade de transmissão do SC-8(1) \| Proteção física criptográfica ou alternativa	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-8.A	Confidencialidade e integridade de transmissão do SC-8.A	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-12(1)	Estabelecimento e gerenciamento de chaves criptográficas do SC-12(1) \| Disponibilidade	kms-cmk-not-scheduled-for-deletion	Para ajudar a proteger dados em repouso, as chaves mestras do cliente (CMKs) necessárias não devem estar programadas para exclusão no AWS Key Management Service (AWS KMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso alguma delas sido programada de maneira não intencional.
CCCS-fPBMM-SC-12(2)	Estabelecimento e gerenciamento de chaves criptográficas do SC-12(2) \| Chaves simétricas	cmk-backing-key-rotation-enabled	Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico.
CCCS-fPBMM-SC-12(2)	Estabelecimento e gerenciamento de chaves criptográficas do SC-12(2) \| Chaves simétricas	kms-cmk-not-scheduled-for-deletion	Para ajudar a proteger dados em repouso, as chaves mestras do cliente (CMKs) necessárias não devem estar programadas para exclusão no AWS Key Management Service (AWS KMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso alguma delas sido programada de maneira não intencional.
CCCS-fPBMM-SC-12.A	Estabelecimento e gerenciamento de chaves criptográficas do SC-12.A	cmk-backing-key-rotation-enabled	Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico.
CCCS-fPBMM-SC-12.A	Estabelecimento e gerenciamento de chaves criptográficas do SC-12.A	kms-cmk-not-scheduled-for-deletion	Para ajudar a proteger dados em repouso, as chaves mestras do cliente (CMKs) necessárias não devem estar programadas para exclusão no AWS Key Management Service (AWS KMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso alguma delas sido programada de maneira não intencional.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	elasticsearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service (OpenSearch Service).
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	opensearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	rds-storage-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	redshift-cluster-kms-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o cluster do Amazon Redshift. Como pode haver dados confidenciais em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	sagemaker-endpoint-configuration-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	sagemaker-notebook-instance-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	secretsmanager-using-cmk	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para os segredos do AWS Secrets Manager. Como pode haver dados confidenciais em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-13.A	Proteção criptográfica do SC-13.A	sns-encrypted-kms	Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-22.A	Arquitetura e provisionamento para serviço de resolução de nomes e endereços do SC-22.A	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-23.A	Autenticidade de sessão do SC-23.A	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	elasticsearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service (OpenSearch Service).
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	opensearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	rds-storage-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	redshift-cluster-kms-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o cluster do Amazon Redshift. Como pode haver dados confidenciais em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	sagemaker-endpoint-configuration-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	sagemaker-notebook-instance-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	secretsmanager-using-cmk	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para os segredos do AWS Secrets Manager. Como pode haver dados confidenciais em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28(1)	Proteção de informações em repouso SC-28(1) \| Proteção criptográfica	sns-encrypted-kms	Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	backup-recovery-point-encrypted	Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	elasticsearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service (OpenSearch Service).
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	elb-predefined-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, os receptores SSL do Classic Elastic Load Balancing devem usar uma política de segurança predefinida. O Elastic Load Balancing oferece configurações de negociação SSL predefinidas usadas para a negociação SSL quando é estabelecida uma conexão entre um cliente e seu balanceador de carga. As configurações de negociação SSL fornecem compatibilidade com uma ampla gama de clientes e usam algoritmos criptográficos de alta robustez. Essa regra exige que você defina uma política de segurança predefinida para os receptores SSL. A política padrão de segurança é: ELBSecurityPolicy-TLS-1-2-2017-0. O valor real deve refletir as políticas da organização.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	opensearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	rds-storage-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	redshift-cluster-kms-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o cluster do Amazon Redshift. Como pode haver dados confidenciais em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	sagemaker-endpoint-configuration-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	sagemaker-notebook-instance-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	secretsmanager-using-cmk	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para os segredos do AWS Secrets Manager. Como pode haver dados confidenciais em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SC-28.A	Proteção de informações em repouso do SC-28.A	sns-encrypted-kms	Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	elastic-beanstalk-managed-updates-enabled	Habilitar atualizações gerenciadas da plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Uma das práticas recomendadas para proteger sistemas é manter a instalação de patches em dia.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-SI-2(2)	Correção de falhas do SI-2(2) \| Status automatizado de correção de falhas	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2(3)	Correção de falhas do SI-2(3) \| Tempo para correção de falhas benchmarks para ações corretivas	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	elastic-beanstalk-managed-updates-enabled	Habilitar atualizações gerenciadas da plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Uma das práticas recomendadas para proteger sistemas é manter a instalação de patches em dia.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-SI-2.A	Correção de falhas do SI-2.A	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	elastic-beanstalk-managed-updates-enabled	Habilitar atualizações gerenciadas da plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Uma das práticas recomendadas para proteger sistemas é manter a instalação de patches em dia.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-SI-2.B	Correção de falhas do SI-2.B	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	elastic-beanstalk-managed-updates-enabled	Habilitar atualizações gerenciadas da plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Uma das práticas recomendadas para proteger sistemas é manter a instalação de patches em dia.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-SI-2.C	Correção de falhas do SI-2.C	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	autoscaling-group-elb-healthcheck-required	As verificações de integridade do Elastic Load Balancer (ELB) para grupos do Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling contribuem para a manutenção de níveis adequados de capacidade e disponibilidade. O balanceador de carga periodicamente envia pings, faz tentativas de conexão ou envia solicitações para testar a integridade de instâncias do Amazon EC2 em um grupo de ajuste de escala automático. Se uma instância não estiver respondendo, o tráfego será enviado para uma nova instância do Amazon EC2.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	beanstalk-enhanced-health-reporting-enabled	Os relatórios de integridade aprimorados do AWS Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade da aplicação. Os relatórios de integridade aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e descobrir possíveis causas a serem investigadas.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	dynamodb-throughput-limit-check	Habilite essa regra para garantir que a capacidade de throughput provisionada seja verificada em suas tabelas do Amazon DynamoDB. Essa é a quantidade de atividades de leitura e gravação que cada tabela pode comportar. O DynamoDB usa essas informações para reservar recursos suficientes do sistema para atender aos seus requisitos de throughput. Essa regra gera um alerta quando o throughput se aproxima do limite máximo da conta de um cliente. Essa regra permite que você defina opcionalmente os parâmetros accountRCUThresholdPercentage (padrão do Config: 80) e accountWCUThresholdPercentage (padrão do Config: 80). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	ec2-instance-detailed-monitoring-enabled	Habilite essa regra para ajudar a melhorar o monitoramento de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2, que exibe gráficos de monitoramento com um período de 1 minuto para a instância.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	elastic-beanstalk-managed-updates-enabled	Habilitar atualizações gerenciadas da plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Uma das práticas recomendadas para proteger sistemas é manter a instalação de patches em dia.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	rds-enhanced-monitoring-enabled	Habilite o Amazon Relational Database Service (Amazon RDS) para ajudar a monitorar a disponibilidade do Amazon RDS. Isso fornece visibilidade detalhada da integridade das instâncias de banco de dados do Amazon RDS. Quando o armazenamento do Amazon RDS está usando mais de um dispositivo físico subjacente, o monitoramento avançado coleta os dados de cada dispositivo. Além disso, quando a instância do banco de dados do Amazon RDS está sendo executada em uma implantação multi-AZ, os dados de cada dispositivo no host secundário são coletados, bem como as respectivas das métricas.
CCCS-fPBMM-SI-2.D	Correção de falhas do SI-2.D	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CCCS-fPBMM-SI-3(1)	Proteção contra códigos mal-intencionados do SI-3(1) \| Gerenciamento central	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-3(7)	Proteção contra códigos mal-intencionados do SI-3(7) \| Detecção não baseada em assinatura	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-3.A	Proteção contra códigos mal-intencionados do SI-3.A	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
CCCS-fPBMM-SI-3.A	Proteção contra códigos mal-intencionados do SI-3.A	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-3.A	Proteção contra códigos mal-intencionados do SI-3.A	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-3.A	Proteção contra códigos mal-intencionados do SI-3.A	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-3.A	Proteção contra códigos mal-intencionados do SI-3.A	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-3.B	Proteção contra códigos mal-intencionados do SI-3.B	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-3.B	Proteção contra códigos mal-intencionados do SI-3.B	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-3.B	Proteção contra códigos mal-intencionados do SI-3.B	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-3.B	Proteção contra códigos mal-intencionados do SI-3.B	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-3.C	Proteção contra códigos mal-intencionados do SI-3.C	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-3.C	Proteção contra códigos mal-intencionados do SI-3.C	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-3.C	Proteção contra códigos mal-intencionados do SI-3.C	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-3.C	Proteção contra códigos mal-intencionados do SI-3.C	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-3.D	Proteção contra códigos mal-intencionados do SI-3.D	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CCCS-fPBMM-SI-3.D	Proteção contra códigos mal-intencionados do SI-3.D	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CCCS-fPBMM-SI-3.D	Proteção contra códigos mal-intencionados do SI-3.D	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CCCS-fPBMM-SI-3.D	Proteção contra códigos mal-intencionados do SI-3.D	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4(1)	Monitoramento do sistema de informações do SI-4(1) \| Sistema de detecção de invasões em todo o sistema	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4(1)	Monitoramento do sistema de informações do SI-4(1) \| Sistema de detecção de invasões em todo o sistema	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4(2)	Monitoramento do sistema de informações do SI-4(2) \| Ferramentas automatizadas para análise em tempo real	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4(2)	Monitoramento do sistema de informações do SI-4(2) \| Ferramentas automatizadas para análise em tempo real	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4(4)	Monitoramento do sistema de informações do SI-4(4) \| Tráfego de comunicações de entrada e saída	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4(4)	Monitoramento do sistema de informações do SI-4(4) \| Tráfego de comunicações de entrada e saída	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
CCCS-fPBMM-SI-4(5)	Monitoramento do sistema de informações do SI-4(5) \| Alertas gerados pelo sistema	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-4(11)	Monitoramento do sistema de informações do SI-4(11) \| Análise de anomalias no tráfego de comunicações	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4(11)	Monitoramento do sistema de informações do SI-4(11) \| Análise de anomalias no tráfego de comunicações	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4(16)	Monitoramento do sistema de informações do SI-4(16) \| Correlação de informações de monitoramento	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4(16)	Monitoramento do sistema de informações do SI-4(16) \| Correlação de informações de monitoramento	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4(20)	Monitoramento do sistema de informações do SI-4(20) \| Usuário privilegiado	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
CCCS-fPBMM-SI-4(23)	Monitoramento do sistema de informações do SI-4(23) \| Dispositivos baseados em host	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CCCS-fPBMM-SI-4(23)	Monitoramento do sistema de informações do SI-4(23) \| Dispositivos baseados em host	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CCCS-fPBMM-SI-4.A	Monitoramento do sistema de informações do SI-4.A	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-4.A	Monitoramento do sistema de informações do SI-4.A	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-4.A	Monitoramento do sistema de informações do SI-4.A	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4.A	Monitoramento do sistema de informações do SI-4.A	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-4.A	Monitoramento do sistema de informações do SI-4.A	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4.B	Monitoramento do sistema de informações do SI-4.B	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-4.B	Monitoramento do sistema de informações do SI-4.B	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-4.B	Monitoramento do sistema de informações do SI-4.B	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4.B	Monitoramento do sistema de informações do SI-4.B	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-4.B	Monitoramento do sistema de informações do SI-4.B	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4.C	Monitoramento do sistema de informações do SI-4.C	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-4.C	Monitoramento do sistema de informações do SI-4.C	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-4.C	Monitoramento do sistema de informações do SI-4.C	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4.C	Monitoramento do sistema de informações do SI-4.C	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-4.C	Monitoramento do sistema de informações do SI-4.C	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4.D	Monitoramento do sistema de informações do SI-4.D	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-4.D	Monitoramento do sistema de informações do SI-4.D	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-4.D	Monitoramento do sistema de informações do SI-4.D	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4.D	Monitoramento do sistema de informações do SI-4.D	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-4.D	Monitoramento do sistema de informações do SI-4.D	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4.E	Monitoramento do sistema de informações do SI-4.E	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-4.E	Monitoramento do sistema de informações do SI-4.E	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-4.E	Monitoramento do sistema de informações do SI-4.E	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4.E	Monitoramento do sistema de informações do SI-4.E	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-4.E	Monitoramento do sistema de informações do SI-4.E	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4.F	Monitoramento do sistema de informações do SI-4.F	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-4.F	Monitoramento do sistema de informações do SI-4.F	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-4.F	Monitoramento do sistema de informações do SI-4.F	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4.F	Monitoramento do sistema de informações do SI-4.F	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-4.F	Monitoramento do sistema de informações do SI-4.F	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-4.G	Monitoramento do sistema de informações do SI-4.G	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
CCCS-fPBMM-SI-4.G	Monitoramento do sistema de informações do SI-4.G	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-4.G	Monitoramento do sistema de informações do SI-4.G	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-4.G	Monitoramento do sistema de informações do SI-4.G	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
CCCS-fPBMM-SI-4.G	Monitoramento do sistema de informações do SI-4.G	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CCCS-fPBMM-SI-5.A	Alertas, recomendações e diretrizes de segurança do SI-5.A	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-5.B	Alertas, recomendações e diretrizes de segurança do SI-5.B	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-5.C	Alertas, recomendações e diretrizes de segurança do SI-5.C	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-5.D	Alertas, recomendações e diretrizes de segurança do SI-5.D	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CCCS-fPBMM-SI-7(1)	Integridade de software, firmware e informações do SI-7(1) \| Verificações de integridade	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-7(7)	Software, firmware e integridade das informações do SI-7(7) \| Integração de detecção e resposta	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-7.A	Software, firmware e integridade de informações do SI-7.A	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CCCS-fPBMM-SI-12.A	Tratamento e retenção de informações do SI-12.A	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.

Modelo

O modelo está disponível no GitHub: Operational Best Practices for Canadian Centre for Cyber Security (CCCS) Medium Cloud Control Profile.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendadas operacionais para o BNM RMit

Práticas recomendadas operacionais para o CIS AWS Foundations Benchmark v1.4 Nível 1