Práticas recomendadas operacionais para a CMMC 2.0 Nível 2

Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.

Veja a seguir um exemplo de mapeamento entre a Certificação do Modelo de Maturidade de Cibersegurança (CMMC) 2.0 Nível 2 e as regras gerenciadas do AWS Config. Cada regra do Config se aplica a um recurso específico da AWS e está relacionada a um ou mais controles da CMMC 2.0 Nível 2. Um controle da CMMC 2.0 Nível 2 pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.

ID de controle	Descrição do controle	Regra do AWS Config	Orientação
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	access-keys-rotated	As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	ec2-instance-profile-attached	Os perfis de instância do EC2 passam um perfil do IAM para uma instância do EC2. Anexar um perfil de instância às instâncias pode ajudar no gerenciamento de privilégio mínimo e permissões.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	root-account-hardware-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	s3-bucket-policy-grantee-check	Para gerenciar o acesso à Nuvem AWS, habilite o s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 foi restrito por qualquer uma das entidades principais da AWS, usuários federados, entidades principais de serviço, endereços IP ou IDs do Amazon Virtual Private Cloud (Amazon VPC) fornecidos por você.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	secretsmanager-rotation-enabled-check	Essa regra garante que os segredos do AWS Secrets Manager tenham a alternância habilitada. A alternância de segredos em uma programação regular pode reduzir o período em que um segredo fica ativo, além de diminuir o impacto nos negócios, se o segredo for comprometido.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	secretsmanager-scheduled-rotation-success-check	Essa regra garante que os segredos do AWS Secrets Manager sejam alternados com sucesso de acordo com a programação de alternância. A alternância de segredos em uma programação regular pode reduzir o período em que um segredo fica ativo e, possivelmente, diminuir o impacto nos negócios se ele for comprometido.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
AC.L2-3.1.1	Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	root-account-hardware-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	s3-bucket-policy-grantee-check	Para gerenciar o acesso à Nuvem AWS, habilite o s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 foi restrito por qualquer uma das entidades principais da AWS, usuários federados, entidades principais de serviço, endereços IP ou IDs do Amazon Virtual Private Cloud (Amazon VPC) fornecidos por você.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
AC.L2-3.1.2	Limite o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar.	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	autoscaling-launch-config-public-ip-disabled	Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	no-unrestricted-route-to-igw	Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
AC.L2-3.1.20	Verifique e controle/limite as conexões aos sistemas de informações externos e o uso deles.	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	api-gw-associated-with-waf	O AWS WAF possibilita que você configure um conjunto de regras [chamado de lista de controle de acesso à web (ACL da web)] que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Associe seu estágio do Amazon API Gateway a uma ACL da web do WAF para protegê-lo contra ataques mal-intencionados.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	autoscaling-launch-config-public-ip-disabled	Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	no-unrestricted-route-to-igw	Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
AC.L2-3.1.3	Controle o fluxo de CUI de acordo com as autorizações aprovadas.	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.L2-3.1.4	Separe os deveres dos indivíduos para reduzir o risco de atividades mal-intencionadas sem conluio.	s3-bucket-policy-grantee-check	Para gerenciar o acesso à Nuvem AWS, habilite o s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 foi restrito por qualquer uma das entidades principais da AWS, usuários federados, entidades principais de serviço, endereços IP ou IDs do Amazon Virtual Private Cloud (Amazon VPC) fornecidos por você.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	s3-bucket-policy-grantee-check	Para gerenciar o acesso à Nuvem AWS, habilite o s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 foi restrito por qualquer uma das entidades principais da AWS, usuários federados, entidades principais de serviço, endereços IP ou IDs do Amazon Virtual Private Cloud (Amazon VPC) fornecidos por você.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
AC.L2-3.1.5	Empregue o princípio de privilégio mínimo, inclusive para contas privilegiadas e funções de segurança específicas.	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.6	Use contas ou perfis não privilegiados ao acessar funções não relacionadas à segurança.	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-customer-policy-blocked-kms-actions	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-group-has-users-check	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-inline-policy-blocked-kms-actions	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-no-inline-policy-check	Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-policy-no-statements-with-full-access	Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-root-access-key-check	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-user-group-membership-check	O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	iam-user-no-policies-check	Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
AC.L2-3.1.7	Impeça que usuários sem privilégios executem funções privilegiadas e capture a execução dessas funções nos logs de auditoria.	s3-bucket-policy-grantee-check	Para gerenciar o acesso à Nuvem AWS, habilite o s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 foi restrito por qualquer uma das entidades principais da AWS, usuários federados, entidades principais de serviço, endereços IP ou IDs do Amazon Virtual Private Cloud (Amazon VPC) fornecidos por você.
AC.L2-3.1.12	Monitore e controle as sessões de acesso remoto.	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
AC.L2-3.1.12	Monitore e controle as sessões de acesso remoto.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
AC.L2-3.1.12	Monitore e controle as sessões de acesso remoto.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
AC.L2-3.1.12	Monitore e controle as sessões de acesso remoto.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	acm-certificate-expiration-check	Para proteger a integridade da rede, garanta que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Essa regra exige um valor para daysToExpiration (valor do Práticas Recomendadas de Segurança Básica da AWS: 90). O valor real deve refletir as políticas da organização.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	elbv2-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
AC.L2-3.1.13	Empregue mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
AU.L2-3.3.1	Crie e retenha registros e logs de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e o relato de atividades ilegais ou não autorizadas do sistema.	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
AU.L2-3.3.2	Garanta que as ações de usuários individuais do sistema possam ser rastreadas para que eles possam ser responsabilizados por suas ações.	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
AU.L2-3.3.4	Alerta em caso de falha no processo de registro em log de uma auditoria.	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
AU.L2-3.3.4	Alerta em caso de falha no processo de registro em log de uma auditoria.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
AU.L2-3.3.4	Alerta em caso de falha no processo de registro em log de uma auditoria.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
AU.L2-3.3.4	Alerta em caso de falha no processo de registro em log de uma auditoria.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
AU.L2-3.3.5	Correlacione os processos de revisão, análise e relato de registros de auditoria para investigação e resposta a indícios de atividades ilegais, não autorizadas, suspeitas ou incomuns.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
AU.L2-3.3.5	Correlacione os processos de revisão, análise e relato de registros de auditoria para investigação e resposta a indícios de atividades ilegais, não autorizadas, suspeitas ou incomuns.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	cloudwatch-log-group-encrypted	Para ajudar a proteger dados confidenciais em repouso, habilite a criptografia para os grupos do Amazon CloudWatch Logs.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-bucket-default-lock-enabled	Habilite o bloqueio do bucket do Amazon Simple Storage Service (Amazon S3) por padrão. Como pode haver dados confidenciais em repouso nos buckets do S3, aplique bloqueios de objetos em repouso para ajudar a protegê-los.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-bucket-policy-grantee-check	Para gerenciar o acesso à Nuvem AWS, habilite o s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 foi restrito por qualquer uma das entidades principais da AWS, usuários federados, entidades principais de serviço, endereços IP ou IDs do Amazon Virtual Private Cloud (Amazon VPC) fornecidos por você.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
AU.L2-3.3.8	Proteja as informações de auditoria e as ferramentas de registro em log de auditoria contra acessos, modificações e exclusões não autorizados.	s3-default-encryption-kms	Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los.
CA.L2-3.12.2	Desenvolva e implemente planos de ação criados para corrigir deficiências e reduzir ou eliminar vulnerabilidades nos sistemas organizacionais.	vuln-management-plan-exists (verificação de processo)	Desenvolva e implemente um plano de gerenciamento de vulnerabilidades para ter um processo formalmente definido para lidar com as vulnerabilidades em seu ambiente. Isso pode incluir ferramentas de gerenciamento de vulnerabilidades, frequência de análise ambiental, funções e responsabilidades.
CA.L2-3.12.3	Monitore os controles de segurança constantemente para garantir a eficácia contínua dos controles.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CA.L2-3.12.3	Monitore os controles de segurança constantemente para garantir a eficácia contínua dos controles.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CA.L2-3.12.3	Monitore os controles de segurança constantemente para garantir a eficácia contínua dos controles.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CM.L2-3.4.1	Estabeleça e mantenha inventários e configurações de linha de base de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CM.L2-3.4.1	Estabeleça e mantenha inventários e configurações de linha de base de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CM.L2-3.4.1	Estabeleça e mantenha inventários e configurações de linha de base de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.	ec2-stopped-instance	Habilite essa regra para ajudar na configuração básica das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) verificando se essas instâncias do Amazon EC2 foram interrompidas por mais dias do que o permitido pelos padrões da organização.
CM.L2-3.4.1	Estabeleça e mantenha inventários e configurações de linha de base de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.	ec2-volume-inuse-check	Essa regra garante que os volumes do Amazon Elastic Block Store que estão anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância é encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está anexado for encerrada, ele poderá violar o conceito de funcionalidade mínima.
CM.L2-3.4.1	Estabeleça e mantenha inventários e configurações de linha de base de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.	eip-attached	Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	account-part-of-organizations	O gerenciamento centralizado de Contas da AWS no AWS Organizations ajuda a garantir que as contas estejam em conformidade. Usar uma governança não centralizada na conta pode gerar inconsistências nas configurações da conta, o que pode expor recursos e dados confidenciais.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	cloudtrail-security-trail-enabled	Essa regra ajuda a garantir o uso das práticas recomendadas de segurança da AWS para o AWS CloudTrail verificando a habilitação de várias configurações. Isso inclui o uso de criptografia de log, validação de log e habilitação do AWS CloudTrail em várias regiões.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	cloud-trail-log-file-validation-enabled	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	elastic-beanstalk-managed-updates-enabled	Habilitar atualizações gerenciadas da plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Uma das práticas recomendadas para proteger sistemas é manter a instalação de patches em dia.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	rds-automatic-minor-version-upgrade-enabled	Habilite atualizações automáticas de versões secundárias nas instâncias do Amazon Relational Database Service (RDS) para garantir que as últimas atualizações de versões secundárias do sistema de gerenciamento de banco de dados relacional (RDBMS) estejam instaladas, o que pode incluir patches de segurança e correções de bugs.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização.
CM.L2-3.4.2	Estabeleça e aplique configurações de segurança para produtos de tecnologia da informação usados em sistemas organizacionais.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CM.L2-3.4.3	Acompanhe, revise, aprove ou reprove e registre as alterações nos sistemas organizacionais.	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	autoscaling-launch-config-public-ip-disabled	Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	ec2-volume-inuse-check	Essa regra garante que os volumes do Amazon Elastic Block Store que estão anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância é encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está anexado for encerrada, ele poderá violar o conceito de funcionalidade mínima.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	no-unrestricted-route-to-igw	Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CM.L2-3.4.6	O princípio da funcionalidade mínima é incorporado pela configuração de sistemas para fornecer somente recursos essenciais	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	autoscaling-launch-config-public-ip-disabled	Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	no-unrestricted-route-to-igw	Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
CM.L2-3.4.7	Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais.	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
CM.L2-3.4.9	Controle e monitore softwares instalados pelo usuário.	ec2-instance-managed-by-systems-manager	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
CM.L2-3.4.9	Controle e monitore softwares instalados pelo usuário.	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
CM.L2-3.4.9	Controle e monitore softwares instalados pelo usuário.	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas de API em sua Conta da AWS.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
IA.L2-3.5.1	Identifique usuários do sistema de informações, processos que agem em nome dos usuários ou dispositivos.	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
IA.L2-3.5.2	Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos como um pré-requisito para permitir o acesso aos sistemas de informações organizacionais.	emr-kerberos-enabled	Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal.
IA.L2-3.5.2	Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos como um pré-requisito para permitir o acesso aos sistemas de informações organizacionais.	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
IA.L2-3.5.2	Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos como um pré-requisito para permitir o acesso aos sistemas de informações organizacionais.	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
IA.L2-3.5.2	Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos como um pré-requisito para permitir o acesso aos sistemas de informações organizacionais.	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
IA.L2-3.5.2	Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos como um pré-requisito para permitir o acesso aos sistemas de informações organizacionais.	root-account-hardware-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
IA.L2-3.5.2	Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos como um pré-requisito para permitir o acesso aos sistemas de informações organizacionais.	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
IA.L2-3.5.3	Use a autenticação multifator para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas.	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
IA.L2-3.5.3	Use a autenticação multifator para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas.	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
IA.L2-3.5.3	Use a autenticação multifator para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas.	root-account-hardware-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
IA.L2-3.5.3	Use a autenticação multifator para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas.	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas.
IA.L2-3.5.6	Desabilite os identificadores após um período definido de inatividade.	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
IA.L2-3.5.6	Desabilite os identificadores após um período definido de inatividade.	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização.
IA.L2-3.5.7	Aplique uma alteração e caracteres e uma complexidade mínima de senha quando novas senhas forem criadas.	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
IA.L2-3.5.8	Proíba a reutilização de senhas por um número especificado de gerações.	iam-password-policy	As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	alb-http-drop-invalid-header-enabled	Configure seus Elastic Load Balancers (ELB) para descartar cabeçalhos http. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	api-gw-cache-enabled-and-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados para o método da API, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	elasticsearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service (OpenSearch Service).
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	elbv2-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	rds-storage-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	redshift-cluster-kms-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o cluster do Amazon Redshift. Como pode haver dados confidenciais em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	s3-default-encryption-kms	Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	sagemaker-endpoint-configuration-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	sagemaker-notebook-instance-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	sns-encrypted-kms	Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	opensearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service.
IA.L2-3.5.10	Armazene e transmita somente senhas protegidas por criptografia.	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
IR.L2-3.6.1	Estabeleça um recurso operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
IR.L2-3.6.1	Estabeleça um recurso operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
IR.L2-3.6.1	Estabeleça um recurso operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.	lambda-dlq-check	Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notiﬁcation Service (Amazon SNS) quando uma função falhar.
IR.L2-3.6.1	Estabeleça um recurso operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
IR.L2-3.6.3	Teste a capacidade organizacional de resposta a incidentes.	response-plan-tested (verificação de processo)	Teste os planos de recuperação e resposta a incidentes. Isso pode ajudar a saber se o plano será eficaz durante um incidente e se alguma lacuna ou atualização precisa ser resolvida.
MA.L2-3.7.5	Exija autenticação multifator para estabelecer sessões de manutenção não locais de conexões de rede externas e encerrar essas conexões quando a manutenção não local for concluída.	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA.
MA.L2-3.7.5	Exija autenticação multifator para estabelecer sessões de manutenção não locais de conexões de rede externas e encerrar essas conexões quando a manutenção não local for concluída.	mfa-enabled-for-iam-console-access	Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
RA.L2-3.11.2	Verifique se há vulnerabilidades em sistemas e aplicações organizacionais periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicações são identificadas.	ec2-managedinstance-patch-compliance-status-check	Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
RA.L2-3.11.2	Verifique se há vulnerabilidades em sistemas e aplicações organizacionais periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicações são identificadas.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
RA.L2-3.11.2	Verifique se há vulnerabilidades em sistemas e aplicações organizacionais periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicações são identificadas.	guardduty-non-archived-findings	O Amazon GuardDuty ajuda você a entender o impacto de um incidente classificando as descobertas por nível de gravidade: baixo, médio e alto. É possível usar essas classificações para determinar estratégias e prioridades de correção. Essa regra permite que você defina opcionalmente daysLowSev (padrão do Config: 30), daysMediumSev (padrão do Config: 7) e daysHighSev (padrão do Config: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
RA.L2-3.11.2	Verifique se há vulnerabilidades em sistemas e aplicações organizacionais periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicações são identificadas.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	alb-http-drop-invalid-header-enabled	Configure seus Elastic Load Balancers (ELB) para descartar cabeçalhos http. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	api-gw-associated-with-waf	O AWS WAF possibilita que você configure um conjunto de regras [chamado de lista de controle de acesso à web (ACL da web)] que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Associe seu estágio do Amazon API Gateway a uma ACL da web do WAF para protegê-lo contra ataques mal-intencionados.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	no-unrestricted-route-to-igw	Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
SC.L2-3.13.1	Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informações organizacionais) nos limites externos e nos principais limites internos dos sistemas de informações.	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	account-part-of-organizations	O gerenciamento centralizado de Contas da AWS no AWS Organizations ajuda a garantir que as contas estejam em conformidade. Usar uma governança não centralizada na conta pode gerar inconsistências nas configurações da conta, o que pode expor recursos e dados confidenciais.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	api-gw-associated-with-waf	O AWS WAF possibilita que você configure um conjunto de regras [chamado de lista de controle de acesso à web (ACL da web)] que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Associe seu estágio do Amazon API Gateway a uma ACL da web do WAF para protegê-lo contra ataques mal-intencionados.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	autoscaling-launch-config-public-ip-disabled	Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	backup-plan-min-frequency-and-min-retention-check	Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	cloudtrail-security-trail-enabled	Essa regra ajuda a garantir o uso das práticas recomendadas de segurança da AWS para o AWS CloudTrail verificando a habilitação de várias configurações. Isso inclui o uso de criptografia de log, validação de log e habilitação do AWS CloudTrail em várias regiões.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	codebuild-project-envvar-awscred-check	Garanta que não haja credenciais de autenticação AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY nos ambientes de projeto do AWS Codebuild. Não armazene essas variáveis em texto não criptografado. Armazenar essas variáveis em texto não criptografado pode causar exposição não intencional dos dados e acesso não autorizado.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	codebuild-project-source-repo-url-check	O URL do repositório de origem do GitHub ou do Bitbucket não deve conter tokens de acesso pessoal e credenciais de login nos ambientes de projeto do AWS Codebuild. Use o OAuth em vez de tokens de acesso pessoal ou credenciais de login para autorizar o acesso a repositórios do GitHub ou do Bitbucket.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	dynamodb-in-backup-plan	Para ajudar nos processos de backup de dados, as tabelas do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	ebs-in-backup-plan	Para ajudar nos processos de backup de dados, os volumes do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	ebs-optimized-instance	Uma instância otimizada no Amazon Elastic Block Store (Amazon EBS) fornece capacidade adicional e dedicada para operações de E/S do Amazon EBS. Essa otimização proporciona o melhor desempenho para os volumes do EBS, minimizando a contenção entre a E/S do Amazon EBS e outros tráfegos da instância.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	ec2-instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	efs-in-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	elasticsearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	elb-deletion-protection-enabled	Essa regra garante que o Elastic Load Balancing tenha a proteção contra exclusão habilitada. Use esse recurso para evitar que o balanceador de carga seja excluído de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	ec2-instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	lambda-inside-vpc	Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	no-unrestricted-route-to-igw	Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	rds-instance-deletion-protection-enabled	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	rds-in-backup-plan	Para ajudar nos processos de backup de dados, as instâncias do Amazon Relational Database Service (Amazon RDS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	rds-cluster-multi-az-enabled	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	s3-bucket-default-lock-enabled	Habilite o bloqueio do bucket do Amazon Simple Storage Service (Amazon S3) por padrão. Como pode haver dados confidenciais em repouso nos buckets do S3, aplique bloqueios de objetos em repouso para ajudar a protegê-los.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	s3-bucket-replication-enabled	A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	s3-bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	subnet-auto-assign-public-ip-disabled	Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	vpc-vpn-2-tunnels-up	Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual.
SC.L2-3.13.2	Utilize projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança efetiva das informações nos sistemas organizacionais.	opensearch-in-vpc-only	Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	ebs-snapshot-public-restorable-check	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	internet-gateway-authorized-vpc-only	Para gerenciar o acesso a recursos na Nuvem AWS, anexe os gateways da Internet somente ao Amazon Virtual Private Cloud (Amazon VPC) autorizado. Os gateways da Internet permitem acesso bidirecional entre a internet e o Amazon VPC, o que pode ocasionar acesso não autorizado aos recursos do Amazon VPC.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	lambda-function-public-access-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	no-unrestricted-route-to-igw	Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	rds-instance-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	redshift-cluster-public-access-check	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	restricted-common-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	s3-account-level-public-access-blocks-periodic	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	s3-bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	s3-bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	sagemaker-notebook-no-direct-internet-access	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
SC.L2-3.13.4	Evite transferências não autorizadas e não intencionais de informações de recursos compartilhados do sistema.	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	acm-certificate-expiration-check	Para proteger a integridade da rede, garanta que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Essa regra exige um valor para daysToExpiration (valor do Práticas Recomendadas de Segurança Básica da AWS: 90). O valor real deve refletir as políticas da organização.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	alb-http-drop-invalid-header-enabled	Configure seus Elastic Load Balancers (ELB) para descartar cabeçalhos http. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	elasticsearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	elbv2-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.8	Implemente mecanismos criptográficos para evitar a divulgação não autorizada de CUI durante a transmissão, a menos que ela seja protegida de maneira física.	opensearch-node-to-node-encryption-check	Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.10	Estabeleça e gerencie chaves criptográficas para criptografia usada em sistemas organizacionais.	cmk-backing-key-rotation-enabled	Habilite a alternância de chaves para que sejam usadas alternadamente depois de atingirem o final do período criptográfico.
SC.L2-3.13.10	Estabeleça e gerencie chaves criptográficas para criptografia usada em sistemas organizacionais.	kms-cmk-not-scheduled-for-deletion	Para ajudar a proteger dados em repouso, as chaves mestras do cliente (CMKs) necessárias não devem estar programadas para exclusão no AWS Key Management Service (AWS KMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso alguma delas sido programada de maneira não intencional.
SC.L2-3.13.15	Proteja a autenticidade das sessões de comunicação.	alb-http-to-https-redirection-check	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.15	Proteja a autenticidade das sessões de comunicação.	api-gw-ssl-enabled	Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações.
SC.L2-3.13.15	Proteja a autenticidade das sessões de comunicação.	elbv2-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
SC.L2-3.13.15	Proteja a autenticidade das sessões de comunicação.	elb-acm-certificate-required	Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS.
SC.L2-3.13.15	Proteja a autenticidade das sessões de comunicação.	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.15	Proteja a autenticidade das sessões de comunicação.	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	api-gw-cache-enabled-and-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados para o método da API, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	cloudwatch-log-group-encrypted	Para ajudar a proteger dados confidenciais em repouso, habilite a criptografia para os grupos do Amazon CloudWatch Logs.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	elasticsearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service (OpenSearch Service).
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS).
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	rds-storage-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	redshift-cluster-kms-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o cluster do Amazon Redshift. Como pode haver dados confidenciais em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	s3-default-encryption-kms	Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	sagemaker-endpoint-configuration-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	sagemaker-notebook-instance-kms-key-configured	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	sns-encrypted-kms	Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los.
SC.L2-3.13.16	Proteja a confidencialidade de CUI em repouso.	opensearch-encrypted-at-rest	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service.
SI.L2-3.14.1	Identifique, relate e corrija informações e falhas do sistema de informações em tempo hábil.	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
SI.L2-3.14.1	Identifique, relate e corrija informações e falhas do sistema de informações em tempo hábil.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
SI.L2-3.14.1	Identifique, relate e corrija informações e falhas do sistema de informações em tempo hábil.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
SI.L2-3.14.2	Forneça proteção contra códigos maliciosos em locais apropriados nos sistemas de informações organizacionais.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
SI.L2-3.14.5	Faça verificações periódicas do sistema de informações e verificações em tempo real de arquivos de origens externas à medida que os arquivos são baixados, abertos ou executados.	ecr-private-image-scanning-enabled	A verificação de imagem do Amazon Elastic Container Repository (ECR) ajuda a identificar vulnerabilidades de software nas imagens do contêiner. Habilitar a verificação de imagens em repositórios do ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	api-gw-associated-with-waf	O AWS WAF possibilita que você configure um conjunto de regras [chamado de lista de controle de acesso à web (ACL da web)] que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Associe seu estágio do Amazon API Gateway a uma ACL da web do WAF para protegê-lo contra ataques mal-intencionados.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	cloudwatch-alarm-action-check	Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
SI.L2-3.14.3	Monitore alertas e recomendações de segurança do sistema e tome providências em resposta a eles.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
SI.L2-3.14.6	Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques.	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
SI.L2-3.14.6	Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques.	api-gw-associated-with-waf	O AWS WAF possibilita que você configure um conjunto de regras [chamado de lista de controle de acesso à web (ACL da web)] que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Associe seu estágio do Amazon API Gateway a uma ACL da web do WAF para protegê-lo contra ataques mal-intencionados.
SI.L2-3.14.6	Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
SI.L2-3.14.6	Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques.	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
SI.L2-3.14.6	Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
SI.L2-3.14.6	Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques.	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
SI.L2-3.14.6	Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
SI.L2-3.14.6	Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques.	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	cloud-trail-cloud-watch-logs-enabled	Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	ec2-managedinstance-association-compliance-status-check	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	multi-region-cloudtrail-enabled	O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	s3-bucket-logging-enabled	O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
SI.L2-3.14.7	Identifique o uso não autorizado de sistemas organizacionais.	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.

Modelo

O modelo está disponível no GitHub: Operational Best Practices for CMMC 2.0 Level 2.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendadas operacionais para o CMMC 2.0 Nível 1

Práticas recomendadas operacionais para serviços de computação