As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Regras selecionadas SCPs e de configuração
Regras selecionadas SCPs e de configuração para o AMS Advanced.
Políticas de controle de serviço (SCPs): As fornecidas SCPs são adicionais às padrão do AMS.
Você pode usar esses controles de biblioteca em conjunto com os padrões para atender aos requisitos de segurança específicos.
Regras de configuração: como medida básica, o AMS recomenda aplicar pacotes de conformidade (consulte Pacotes de conformidade no AWS Config guia), além das regras de configuração padrão do AMS (consulte Artefatos do AMS para ver as regras padrão). Os pacotes de conformidade cobrem a maioria dos requisitos de conformidade e a AWS os atualiza regularmente.
As regras listadas aqui podem ser usadas para cobrir lacunas específicas de casos de uso que não são cobertas pelos pacotes de conformidade
nota
À medida que as regras padrão e os pacotes de conformidade do AMS são atualizados com o tempo, você pode ver duplicatas dessas regras.
O AMS recomenda fazer uma limpeza periódica das regras de configuração duplicadas em geral.
Para o AMS Advanced, o Config Rules não deve usar remediações automáticas (consulte Correção de recursos não compatíveis da AWS pelo AWS Config Rules) para evitar alterações. out-of-band
SCP-AMS-001: Restringir a criação de EBS
Evite a criação de volumes do EBS se você não tiver a criptografia ativada.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:CreateVolume", "Resource": "*", "Effect": "Deny" }
SCP-AMS-002: Restringir o lançamento EC2
Evite a execução de uma EC2 instância se o volume do EBS não estiver criptografado. Isso inclui negar uma EC2 inicialização não criptografada AMIs porque esse SCP também se aplica aos volumes raiz.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:volume/*", "Effect": "Deny" }
SCP-ADV-001: Restringir envios de RFC
Restrinja o envio automático de funções padrão do AMS, RFCs como Criar VPC ou Excluir VPC. Isso é útil se você quiser aplicar permissões mais granulares às suas funções federadas.
Por exemplo, talvez você queira que o padrão seja AWSManagedServicesChangeManagement Role capaz de enviar a maioria das informações disponíveis, RFCs exceto aquelas que permitem a criação e exclusão de uma VPC, a criação de sub-redes adicionais, a desativação de uma conta de aplicativo, a atualização ou a exclusão de provedores de identidade SAML:
SCP-AMS-003: Restringir EC2 ou criar RDS no AMS
Evite a criação de instâncias da Amazon EC2 e do RDS que não tenham tags específicas e, ao mesmo tempo, permita que a AMS Backup IAM função padrão do AMS faça isso. Isso é necessário para recuperação de desastres ou DR.
{ "Sid": "DenyRunInstanceWithNoOrganizationTag", "Effect": "Deny", "Action": [ "ec2:RunInstances", "rds:CreateDBInstance" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:rds:*:*:db:*" ], "Condition": { "Null": { "aws:RequestTag/organization": "true" }, "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::<Account_Number>:role/ams-backup-iam-role" ] } } }
SCP-AMS-004: Restringir os carregamentos do S3
Evite o upload de objetos S3 não criptografados.
{ "Sid": "DenyUnencryptedS3Uploads", "Effect": "Deny", "Action": "s3:PutObject", "Resource": "*", "Condition": { "StringNotLike": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }, "Null": { "s3:x-amz-server-side-encryption": "false" } } } ] }
SCP-AMS-005: Restrinja o acesso à API e ao console
Impeça o acesso ao console e à API da AWS para solicitações provenientes de endereços IP inválidos conhecidos como incorretos, conforme determinado cliente InfoSec.
SCP-AMS-006: Impedir que a entidade IAM remova a conta do membro da organização
Impeça que uma AWS Identity and Access Management entidade remova contas de membros da organização.
{ "Effect": "Deny", "Action": ["organizations:LeaveOrganization"], "Resource": ["*"] }
SCP-AMS-007: Evite compartilhar recursos com contas fora de sua organização
Evite compartilhar recursos com contas externas fora da sua AWS organização
{ "Effect": "Deny", "Action": [ "ram:*" ], "Resource": [ "*" ], "Condition": { "Bool": { "ram:AllowsExternalPrincipals": "true" } } }, { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } }
SCP-AMS-008: Impedir o compartilhamento com organizações ou unidades organizacionais () OUs
Evite compartilhar recursos com uma conta and/or OU que esteja em uma organização.
{ "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}", "arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}" ] } } }
SCP-AMS-009: Impedir que usuários aceitem convites de compartilhamento de recursos
Impeça que as contas dos membros aceitem convites AWS RAM para participar de compartilhamentos de recursos. Essa API não suporta nenhuma condição e impede compartilhamentos somente de contas externas.
{ "Effect": "Deny", "Action": ["ram:AcceptResourceShareInvitation"], "Resource": ["*"] }
SCP-AMS-010: Impedir ações de ativação e desativação da região da conta
Evite ativar ou desativar novas AWS regiões para suas AWS contas.
{ "Effect": "Deny", "Action": [ "account:EnableRegion", "account:DisableRegion" ], "Resource": "*" }
SCP-AMS-011: Evitar ações de modificação do faturamento
Evite modificações na configuração de cobrança e pagamento.
{ "Effect": "Deny", "Action": [ "aws-portal:ModifyBilling", "aws-portal:ModifyAccount", "aws-portal:ModifyPaymentMethods" ], "Resource": "*" }
SCP-AMS-012: Impedir a exclusão ou modificação de dados específicos CloudTrails
Evite modificações em AWS CloudTrail trilhas específicas.
{ "Effect": "Deny", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:PutInsightSelectors", "cloudtrail:UpdateEventDataStore", "cloudtrail:UpdateTrail", "cloudtrail:StopLogging" ], "Resource": [ "arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}" ] }
SCP-AMS-013: Impedir a desativação da criptografia padrão do EBS
Evite a desativação da criptografia padrão do Amazon EBS.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
SCP-AMS-014: Impedir a criação de VPC e sub-rede padrão
Evite a criação de uma Amazon VPC e sub-redes padrão.
{ "Effect": "Deny", "Action": [ "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc" ], "Resource": "*" }
SCP-AMS-015: Impedir a desativação e modificação GuardDuty
Impeça que GuardDuty a Amazon seja modificada ou desativada.
{ "Effect": "Deny", "Action": [ "guardduty:AcceptInvitation", "guardduty:ArchiveFindings", "guardduty:CreateDetector", "guardduty:CreateFilter", "guardduty:CreateIPSet", "guardduty:CreateMembers", "guardduty:CreatePublishingDestination", "guardduty:CreateSampleFindings", "guardduty:CreateThreatIntelSet", "guardduty:DeclineInvitations", "guardduty:DeleteDetector", "guardduty:DeleteFilter", "guardduty:DeleteInvitations", "guardduty:DeleteIPSet", "guardduty:DeleteMembers", "guardduty:DeletePublishingDestination", "guardduty:DeleteThreatIntelSet", "guardduty:DisableOrganizationAdminAccount", "guardduty:DisassociateFromMasterAccount", "guardduty:DisassociateMembers", "guardduty:InviteMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:TagResource", "guardduty:UnarchiveFindings", "guardduty:UntagResource", "guardduty:UpdateDetector", "guardduty:UpdateFilter", "guardduty:UpdateFindingsFeedback", "guardduty:UpdateIPSet", "guardduty:UpdateMalwareScanSettings", "guardduty:UpdateMemberDetectors", "guardduty:UpdateOrganizationConfiguration", "guardduty:UpdatePublishingDestination", "guardduty:UpdateThreatIntelSet" ], "Resource": "*" }
SCP-AMS-016: Impedir a atividade do usuário root
Impeça que o usuário root execute qualquer ação.
{ "Action": "*", "Resource": "*", "Effect": "Deny", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } }
SCP-AMS-017: Impedir a criação de chaves de acesso para o usuário root
Impeça a criação de chaves de acesso para o usuário root.
{ "Effect": "Deny", "Action": "iam:CreateAccessKey", "Resource": "arn:aws:iam::*:root" }
SCP-AMS-018: Impedir a desativação do bloqueio de acesso público da conta S3
Evite desativar um bloqueio de acesso público da conta Amazon S3. Isso evita que qualquer bucket na conta se torne público.
{ "Effect": "Deny", "Action": "s3:PutAccountPublicAccessBlock", "Resource": "*" }
SCP-AMS-019: Evite a desativação do AWS Config ou a modificação das regras do Config
Evite desativar ou modificar regras. AWS Config
{ "Effect": "Deny", "Action": [ "config:DeleteConfigRule", "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteEvaluationResults", "config:StopConfigurationRecorder" ], "Resource": "*" }
SCP-AMS-020: Impeça todas as ações do IAM
Evite todas as ações do IAM.
{ "Effect": "Deny", "Action": [ "iam:*" ], "Resource": "*" }
SCP-AMS-021: Impedir a exclusão de grupos e fluxos de registros CloudWatch
Evite excluir grupos e streams do Amazon CloudWatch Logs.
{ "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": "*" }
SCP-AMS-022: Impedir a exclusão do Glacier
Evite a exclusão do Amazon Glacier.
{ "Effect": "Deny", "Action": [ "glacier:DeleteArchive", "glacier:DeleteVault" ], "Resource": "*" }
SCP-AMS-023: Impedir a exclusão do IAM Access Analyzer
Evite a exclusão do IAM Access Analyzer.
{ "Action": [ "access-analyzer:DeleteAnalyzer" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-024: Evitar modificações no Security Hub
Impedir a exclusão do. AWS Security Hub
{ "Action": [ "securityhub:DeleteInvitations", "securityhub:DisableSecurityHub", "securityhub:DisassociateFromMasterAccount", "securityhub:DeleteMembers", "securityhub:DisassociateMembers" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-025: Impedir a exclusão no Directory Service
Evite a exclusão de recursos em Directory Service.
{ "Action": [ "ds:DeleteDirectory", "ds:DeleteLogSubscription", "ds:DeleteSnapshot", "ds:DeleteTrust", "ds:DeregisterCertificate", "ds:DeregisterEventTopic", "ds:DisableLDAPS", "ds:DisableRadius", "ds:DisableSso", "ds:UnshareDirectory" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-026: Impedir o uso do serviço negado
Evite o uso de serviços negados.
nota
Substitua service1 e service2 por seus nomes de serviço. Exemplo access-analyzer ouIAM.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"] }
SCP-AMS-027: Impedir o uso de serviços negados em regiões específicas
Evite o uso de serviços da lista negada em regiões específicas AWS .
nota
Substitua service1 e service2 por seus nomes de serviço. Exemplo access-analyzer ouIAM.
Substitua region1 e region2 por seus nomes de serviço. Exemplo us-west-2 ouuse-east-1.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"], "Condition": { "StringEquals": { "aws:RequestedRegion": [ "region1", "region2" ] } } }
SCP-AMS-028: Impedir que as etiquetas sejam modificadas, exceto por diretores autorizados
Evite modificações de tags por qualquer usuário, exceto os diretores autorizados. Use etiquetas de autorização para autorizar diretores. As etiquetas de autorização devem estar associadas aos recursos e aos diretores. user/role A só é considerado autorizado se a tag no recurso e no principal corresponder. Para obter mais informações, consulte os seguintes recursos:
{ "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "ec2:ResourceTag/access-project": false } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "access-project" ] } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "aws:PrincipalTag/access-project": true } } }
SCP-AMS-029: Impedir que os usuários excluam os registros de fluxo da Amazon VPC
Evite a exclusão dos registros de fluxo da Amazon VPC.
{ "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream", "s3:DeleteBucket", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:PutLifecycleConfiguration", "firehose:DeleteDeliveryStream" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-030: Impedir o compartilhamento da sub-rede VPC com uma conta que não seja uma conta de rede
Evite compartilhar sub-redes da Amazon VPC com contas que não sejam a conta da rede.
nota
NETWORK_ACCOUNT_IDSubstitua pelo ID da sua conta de rede.
{ "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "ram:Principal": "NETWORK_ACCOUNT_ID" }, "StringEquals": { "ram:RequestedResourceType": "ec2:Subnet" } } }
SCP-AMS-031: Evite a execução de instâncias com tipos de instância proibidos
Evite o lançamento de tipos de EC2 instância proibidos da Amazon.
nota
instance_type2Substitua instance_type1 e pelos tipos de instância que você deseja restringir, como t2.micro ou uma string curinga, como*.nano.
{ "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ForAnyValue:StringLike": { "ec2:InstanceType": [ "instance_type1", "instance_type2" ] } } }
SCP-AMS-032: Impeça o lançamento de instâncias sem IMDSv2
Evite EC2 instâncias da Amazon sem IMDSv2.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*" } ]
SCP-AMS-033: Evitar modificações na função específica do IAM
Evite modificações em funções específicas do IAM.
{ "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:TagRole", "iam:UntagRole", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
SCP-AMS-034: Evitar AssumeRolePolicy modificações em funções específicas do IAM
Evite modificações nas quatro AssumeRolePolicy funções específicas do IAM.
{ "Action": [ "iam:UpdateAssumeRolePolicy" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
ConfigRule: Etiquetas obrigatórias
Verifique se EC2 as instâncias têm as tags personalizadas que você solicitou. Além disso InfoSec, isso também é útil para seu gerenciamento de custos
ConfigRuleName: required-tags Description: >- A Config rule that checks whether EC2 instances have the required tags. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' InputParameters: tag1Key: COST_CENTER tag2Key: APP_ID Source: Owner: AWS SourceIdentifier: REQUIRED_TAGS
ConfigRule: Tecla de acesso girada
Verifique se as chaves de acesso estão sendo giradas dentro do período de tempo especificado. Geralmente, isso é definido para ser de 90 dias de acordo com os requisitos de conformidade típicos.
ConfigRuleName: access-keys-rotated Description: >- A config rule that checks whether the active access keys are rotated within the number of days specified in maxAccessKeyAge. The rule is NON_COMPLIANT if the access keys have not been rotated for more than maxAccessKeyAge number of days. InputParameters: maxAccessKeyAge: '90' Source: Owner: AWS SourceIdentifier: ACCESS_KEYS_ROTATED MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: chave de acesso raiz do IAM no AMS
Verifique se a chave de acesso raiz não está presente em uma conta. Para contas AMS Advanced, espera-se que isso seja compatível. out-of-the-box
ConfigRuleName: iam-root-access-key-check Description: >- A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist. Source: Owner: AWS SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: SSM gerenciado EC2
Verifique se você EC2s está sendo gerenciado pelo SSM Systems Manager.
ConfigRuleName: ec2-instance-managed-by-systems-manager Description: >- A Config rule that checks whether the EC2 instances in the account are managed by AWS Systems Manager. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' - 'AWS::SSM::ManagedInstanceInventory' Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
ConfigRule: Usuário do IAM não utilizado no AMS
Verifique as credenciais de usuário do IAM que não foram usadas por um período especificado. Assim como a verificação de rotação de chaves, o padrão é de 90 dias de acordo com os requisitos de conformidade típicos.
ConfigRuleName: iam-user-unused-credentials-check Description: >- A config rule that checks whether IAM users have passwords or active access keys that have not been used within the specified number of days provided. InputParameters: maxCredentialUsageAge: '90' Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: registro de buckets do S3
Verifique se o registro foi ativado para buckets do S3 na conta.
ConfigRuleName: s3-bucket-logging-enabled Description: >- A Config rule that checks whether logging is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
ConfigRule: controle de versão do bucket S3
Verifique se o controle de versão e a exclusão de MFA (opcional) estão habilitados em todos os buckets do S3
ConfigRuleName: s3-bucket-versioning-enabled Description: >- A Config rule that checks whether versioning is enabled for S3 buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
ConfigRule: acesso público S3
Verifique se as configurações de acesso público (ACL pública, política pública, compartimentos públicos) estão restritas em toda a conta
ConfigRuleName: s3-account-level-public-access-blocks Description: >- A Config rule that checks whether the required public access block settings are configured from account level. The rule is only NON_COMPLIANT when the fields set below do not match the corresponding fields in the configuration item. Scope: ComplianceResourceTypes: - 'AWS::S3::AccountPublicAccessBlock' InputParameters: IgnorePublicAcls: 'True' BlockPublicPolicy: 'True' BlockPublicAcls: 'True' RestrictPublicBuckets: 'True' Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
ConfigRule: Descobertas não arquivadas GuardDuty
Verifique se há GuardDuty descobertas não arquivadas que sejam mais antigas do que a duração especificada. A duração padrão é de 30 dias para descobertas de baixo nível, 7 dias para sev médio e 1 dia para descobertas de alto nível.
ConfigRuleName: guardduty-non-archived-findings Description: >- A Config rule that checks whether the Amazon GuardDuty has findings that are non archived. The rule is NON_COMPLIANT if GuardDuty has non archived low/medium/high severity findings older than the specified number. InputParameters: daysLowSev: '30' daysMediumSev: '7' daysHighSev: '1' Source: Owner: AWS SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: exclusão da CMK
Verifique se há chaves mestras AWS Key Management Service personalizadas (CMKs) que estão programadas (também conhecidas como pendentes) para exclusão. Isso é crucial, pois o desconhecimento da exclusão da CMK pode fazer com que os dados sejam irrecuperáveis.
ConfigRuleName: kms-cmk-not-scheduled-for-deletion Description: >- A config rule that checks whether customer master keys (CMKs) are not scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is NON_COMPLIANT if CMKs are scheduled for deletion. Source: Owner: AWS SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: Rotação CMK
Verifique se a rotação automática está ativada para cada CMK na conta
ConfigRuleName: cmk-backing-key-rotation-enabled Description: >- A config rule that checks that key rotation is enabled for each customer master key (CMK). The rule is COMPLIANT, if the key rotation is enabled for specific key object. The rule is not applicable to CMKs that have imported key material. Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED MaximumExecutionFrequency: TwentyFour_Hours
