Limites regionais em controles do CSPM do Security Hub

[ElastiCache.4] Os grupos de replicação do ElastiCache devem ser criptografados em repouso

[ElastiCache.5] Os grupos de replicação do ElastiCache devem ser criptografados em trânsito

[ElastiCache.6] Os grupos de replicação do ElastiCache (Redis OSS) de versões anteriores devem ter a AUTH do Redis OSS habilitada

[ElastiCache.7] Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots

[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots

[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[Amplify.1] As aplicações do Amplify devem ser marcadas com tags

[Amplify.2] As ramificações do Amplify devem ser marcadas com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ELB.2] Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[EventBridge.4] Os endpoints globais do EventBridge devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados

[IoT.2] As ações de mitigação do AWS IoT Core devem ser marcadas

[IoT.3] As dimensões do AWS IoT Core devem ser marcadas

[IoT.4] Os autorizadores do AWS IoT Core devem ser marcados

[IoT.5] Os aliases de perfil do AWS IoT Core devem ser marcados

[IoT.6] As políticas do AWS IoT Core devem ser marcadas

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[RDS.1] Os snapshots do RDS devem ser privados

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[RedshiftServerless.3] Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público

[RedshiftServerless.4] Os namespaces do Redshift sem servidor devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces do Redshift sem servidor devem exportar registros para o CloudWatch Logs

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[EventBridge.4] Os endpoints globais do EventBridge devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[Account.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API de Gateway

[Amplify.1] As aplicações do Amplify devem ser marcadas com tags

[Amplify.2] As ramificações do Amplify devem ser marcadas com tags

[AppConfig.1] As aplicações do AWS AppConfig devem ser marcadas com tags

[AppConfig.2] Os perfis de configuração do AWS AppConfig devem ser marcados com tags

[AppConfig.3] Os ambientes do AWS AppConfig devem ser marcados com tags

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso

[Backup.4] Os planos de relatórios do AWS Backup devem ser marcados

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CloudTrail.6] Certifique-se de que o bucket do S3 usado para armazenar registros do CloudTrail não esteja acessível ao público

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão

[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389

[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede

[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas

[EC2.40] Os gateways de NAT do EC2 devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[[EC2.170] Os modelos de inicialização do EC2 devem usar o Instance Metadata Service versão 2 (IMDSv2)

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags

[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.180] As interfaces de rede do EC2 devem ter a verificação de origem/destino habilitada

[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas

[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito

[ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado

[ElastiCache.6] Os grupos de replicação do ElastiCache (Redis OSS) de versões anteriores devem ter a AUTH do Redis OSS habilitada

[ElastiCache.7] Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir logs para o CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[ES.4] O registro em log de erros do domínio Elasticsearch no CloudWatch Logs deve ser ativado

[EventBridge.4] Os endpoints globais do EventBridge devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões com suporte do AWS Glue

[GuardDuty.2] Os filtros GuardDuty devem ser marcados

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política AWSCloudShellFullAccess anexada

[Inspector.1] A varredura do EC2 do Amazon Inspector deve estar habilitada

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados

[IoT.2] As ações de mitigação do AWS IoT Core devem ser marcadas

[IoT.3] As dimensões do AWS IoT Core devem ser marcadas

[IoT.4] Os autorizadores do AWS IoT Core devem ser marcados

[IoT.5] Os aliases de perfil do AWS IoT Core devem ser marcados

[IoT.6] As políticas do AWS IoT Core devem ser marcadas

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[Lambda.7] As funções do Lambda devem ter o rastreamento ativo do AWS X-Ray habilitado

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os agentes do ActiveMQ devem transmitir os logs de auditoria para o CloudWatch

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.4] Os clusters do MSK devem ter acesso público desabilitado

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados do Neptune devem publicar logs de auditoria no CloudWatch Logs

[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[Opensearch.1] Os domínios do OpenSearch devem ter a criptografia em repouso habilitada

[Opensearch.2] Os domínios do OpenSearch não devem ser publicamente acessíveis

[Opensearch.3] Os domínios do OpenSearch devem criptografar os dados enviados entre os nós

[Opensearch.4] O registro em log de erros de domínio do OpenSearch no CloudWatch Logs deve estar ativado

[Opensearch.5] Os domínios do OpenSearch devem ter o registro em log de auditoria ativado

[Opensearch.6] Os domínios do OpenSearch devem ter pelo menos três nós de dados

[Opensearch.7] Os domínios do OpenSearch devem ter um controle de acesso refinado habilitado

[Opensearch.8] As conexões com os domínios do OpenSearch devem ser criptografadas com a política de segurança TLS mais recente

[Opensearch.9] Os domínios do OpenSearch devem ser marcados

[Opensearch.10] Os domínios do OpenSearch devem ter a atualização de software mais recente instalada

[Opensearch.11] Os domínios do OpenSearch devem ter pelo menos três nós primários dedicados

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.37] Os clusters de banco de dados PostgreSQL do Aurora devem publicar logs de auditoria no CloudWatch Logs

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[RedshiftServerless.3] Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público

[RedshiftServerless.4] Os namespaces do Redshift sem servidor devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces do Redshift sem servidor devem exportar registros para o CloudWatch Logs

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outras Contas da AWS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[SageMaker.1] As instâncias de caderno do Amazon SageMaker não devem ter acesso direto à Internet

[SageMaker.2] As instâncias do notebook SageMaker devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso raiz às instâncias do notebook do SageMaker

[SageMaker.5] Os modelos do SageMaker devem ter o isolamento de rede habilitado

[SageMaker.6] As configurações de imagem da aplicação do SageMaker devem ser marcadas com tags

[SageMaker.7] As imagens do SageMaker devem ser marcadas com tags

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público

PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.6] O SSM Automation deve ter o registro em log do CloudWatch habilitado

[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada

[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado

[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WAF.10] As AWS WAF web ACLs devem ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[Account.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API de Gateway

[Amplify.1] As aplicações do Amplify devem ser marcadas com tags

[Amplify.2] As ramificações do Amplify devem ser marcadas com tags

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso

[Backup.4] Os planos de relatórios do AWS Backup devem ser marcados

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeBuild.1] Os URLs dos repositórios Bitbucket de fontes do CodeBuild não devem conter credenciais confidenciais

[CodeBuild.2] As variáveis de ambiente do projeto do CodeBuild não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os logs do CodeBuild S3 devem ser criptografados

[CodeBuild.4] Os ambientes do projeto CodeBuild devem ter uma configuração de registro em log AWS Config

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389

[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas

[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito

[ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado

[ElastiCache.6] Os grupos de replicação do ElastiCache (Redis OSS) de versões anteriores devem ter a AUTH do Redis OSS habilitada

[ElastiCache.7] Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[EventBridge.4] Os endpoints globais do EventBridge devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[GuardDuty.2] Os filtros GuardDuty devem ser marcados

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados

[IoT.2] As ações de mitigação do AWS IoT Core devem ser marcadas

[IoT.3] As dimensões do AWS IoT Core devem ser marcadas

[IoT.4] Os autorizadores do AWS IoT Core devem ser marcados

[IoT.5] Os aliases de perfil do AWS IoT Core devem ser marcados

[IoT.6] As políticas do AWS IoT Core devem ser marcadas

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados do Neptune devem publicar logs de auditoria no CloudWatch Logs

[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[Opensearch.5] Os domínios do OpenSearch devem ter o registro em log de auditoria ativado

[Opensearch.6] Os domínios do OpenSearch devem ter pelo menos três nós de dados

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização da AWS

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público

PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WAF.10] As AWS WAF web ACLs devem ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS

[Account.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API de Gateway

[Amplify.1] As aplicações do Amplify devem ser marcadas com tags

[Amplify.2] As ramificações do Amplify devem ser marcadas com tags

[AppConfig.1] As aplicações do AWS AppConfig devem ser marcadas com tags

[AppConfig.2] Os perfis de configuração do AWS AppConfig devem ser marcados com tags

[AppConfig.3] Os ambientes do AWS AppConfig devem ser marcados com tags

[AppConfig.4] As associações de extensão do AWS AppConfig devem ser marcadas com tags

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em log em nível de campo habilitado

[AppSync.4] As APIs do AWS AppSync GraphQL devem ser marcadas

[AppSync.5] As APIs do AWS AppSync GraphQL não devem ser autenticadas com chaves de API

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado

[AutoScaling.2] O grupo do Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem configurar as instâncias do EC2 para que exijam o Instance Metadata Service versão 2 (IMDSv2)

[AutoScaling.6] Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

Os grupos do Amazon EC2 Auto Scaling devem usar modelos de lançamento do Amazon EC2

[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso

[Backup.2] Os pontos de recuperação do AWS Backup devem ser marcados

[Backup.3] Os cofres do AWS Backup devem ser marcados

[Backup.4] Os planos de relatórios do AWS Backup devem ser marcados

[Backup.5] Os planos de backup do AWS Backup devem ser marcados

[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags

[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags

[Batch.3] Ambientes de computação do Batch devem ser marcados com tags

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags

[CloudFormation.2] As pilhas do CloudFormation devem ser marcadas

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CloudTrail.6] Certifique-se de que o bucket do S3 usado para armazenar registros do CloudTrail não esteja acessível ao público

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail

[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[CloudWatch.17] As ações de alarme do CloudWatch devem ser ativadas

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeBuild.1] Os URLs dos repositórios Bitbucket de fontes do CodeBuild não devem conter credenciais confidenciais

[CodeBuild.2] As variáveis de ambiente do projeto do CodeBuild não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os logs do CodeBuild S3 devem ser criptografados

[CodeBuild.4] Os ambientes do projeto CodeBuild devem ter uma configuração de registro em log AWS Config

[CodeBuild.7] As exportações de grupos de relatórios do CodeBuild devem ser criptografadas em repouso

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão

[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas

[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[DataSync.1] As tarefas do DataSync devem ter o registro em log habitado

[DataSync.2] As tarefas do DataSync devem ser marcadas com tags

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado

[EC2.21] As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos

[EC2.23] Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados

[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas

[EC2.40] Os gateways de NAT do EC2 devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado

[EC2.52] Os gateways de trânsito do EC2 devem ser marcados

[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto

[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API do ECR

[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o registro do Docker

[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[[EC2.170] Os modelos de inicialização do EC2 devem usar o Instance Metadata Service versão 2 (IMDSv2)

[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags

[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags

[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags

[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.180] As interfaces de rede do EC2 devem ter a verificação de origem/destino habilitada

[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS

[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada

[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ECR.5] Os repositórios de ECR devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host

[ECS.4] Os contêineres ECS devem ser executados sem privilégios

[ECS.5] Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log

[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.12] Os clusters do ECS devem usar Container Insights

[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos

[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz

[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário

[EFS.5] Os pontos de acesso do EFS devem ser marcados

[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização

[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados

[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes

[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes

[EKS.6] Os clusters do EKS devem ser marcados

[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas

[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado

[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade

[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas

[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito

[ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado

[ElastiCache.2] Os clusters do ElastiCache devem ter as atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] Os grupos de replicação do ElastiCache devem ter o failover automático habilitado

[ElastiCache.4] Os grupos de replicação do ElastiCache devem ser criptografados em repouso

[ElastiCache.5] Os grupos de replicação do ElastiCache devem ser criptografados em trânsito

[ElastiCache.6] Os grupos de replicação do ElastiCache (Redis OSS) de versões anteriores devem ter a AUTH do Redis OSS habilitada

[ElastiCache.7] Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir logs para o CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

[ES.4] O registro em log de erros do domínio Elasticsearch no CloudWatch Logs deve ser ativado

[ES.9] Os domínios do Elasticsearch devem ser marcados

[EventBridge.2] Os barramentos de eventos do EventBridge devem ser marcados

[EventBridge.3] Os barramentos de eventos personalizados do EventBridge devem ter uma política baseada em recursos anexada

[EventBridge.4] Os endpoints globais do EventBridge devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[FSx.1] Os sistemas de arquivos do Amazon FSx para OpenZFS devem estar configurados para copiar tags para backups e volumes.

[FSx.2] Os sistemas de arquivos FSx para Lustre devem ser configurados para copiar tags em backups

[FSx.3] Os sistemas de arquivos FSx para OpenZFS devem estar configurados para implantação multi-AZ

[FSx.4] Os sistemas de arquivos NetApp ONTAP devem estar configurados para implantação multi-AZ

[FSx.5] Os sistemas de arquivos Windows File Server devem estar configurados para implantação multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.1] Os trabalhos do AWS Glue devem ser marcados

[Glue.3] As transformações de machine learning do AWS Glue devem ser criptografadas em repouso

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões com suporte do AWS Glue

[GuardDuty.2] Os filtros GuardDuty devem ser marcados

[GuardDuty.3] Os IPSets do GuardDuty devem ser marcados

[GuardDuty.4] Os detectores do GuardDuty devem ser marcados

[GuardDuty.5] O Monitoramento de Logs de Auditoria do EKS do GuardDuty deve estar habilitado

[GuardDuty.6] A Proteção do Lambda do GuardDuty deve estar habilitada

[GuardDuty.7] O Monitoramento de Runtime do EKS do GuardDuty deve estar habilitado

[GuardDuty.8] A Proteção contra Malware para EC2 do GuardDuty deve estar habilitada

[GuardDuty.9] A proteção do RDS do GuardDuty deve estar habilitada

[GuardDuty.10] A proteção do S3 do GuardDuty deve estar habilitada

[GuardDuty.11] O Monitoramento de Runtime do GuardDuty deve estar habilitado

[GuardDuty.12] O monitoramento de runtime do ECS do GuardDuty deve estar habilitado

[GuardDuty.13] O monitoramento de runtime do EC2 do GuardDuty deve estar habilitado

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] A MFA deve estar habilitada para o usuário raiz

[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política AWSCloudShellFullAccess anexada

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[Inspector.1] A varredura do EC2 do Amazon Inspector deve estar habilitada

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados

[IoT.2] As ações de mitigação do AWS IoT Core devem ser marcadas

[IoT.3] As dimensões do AWS IoT Core devem ser marcadas

[IoT.4] Os autorizadores do AWS IoT Core devem ser marcados

[IoT.5] Os aliases de perfil do AWS IoT Core devem ser marcados

[IoT.6] As políticas do AWS IoT Core devem ser marcadas

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[Kinesis.2] Os fluxos do Kinesis devem ser marcados

[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[KMS.5] As chaves do KMS não devem estar acessíveis ao público

[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade

[Lambda.7] As funções do Lambda devem ter o rastreamento ativo do AWS X-Ray habilitado

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os agentes do ActiveMQ devem transmitir os logs de auditoria para o CloudWatch

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente

[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.4] Os clusters do MSK devem ter acesso público desabilitado

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados do Neptune devem publicar logs de auditoria no CloudWatch Logs

[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade.

[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado

[NetworkFirewall.3] As políticas de firewall de rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes completos.

[NetworkFirewall.5] A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados.

[NetworkFirewall.6] O grupo de regras de firewall de rede sem estado não deve estar vazio

[NetworkFirewall.9] Os firewalls do firewall de rede devem ter a proteção contra exclusão ativada

[NetworkFirewall.10] Os firewalls do Network Firewall devem ter a proteção contra alteração de sub-rede habilitada

[Opensearch.1] Os domínios do OpenSearch devem ter a criptografia em repouso habilitada

[Opensearch.2] Os domínios do OpenSearch não devem ser publicamente acessíveis

[Opensearch.3] Os domínios do OpenSearch devem criptografar os dados enviados entre os nós

[Opensearch.4] O registro em log de erros de domínio do OpenSearch no CloudWatch Logs deve estar ativado

[Opensearch.5] Os domínios do OpenSearch devem ter o registro em log de auditoria ativado

[Opensearch.6] Os domínios do OpenSearch devem ter pelo menos três nós de dados

[Opensearch.7] Os domínios do OpenSearch devem ter um controle de acesso refinado habilitado

[Opensearch.8] As conexões com os domínios do OpenSearch devem ser criptografadas com a política de segurança TLS mais recente

[Opensearch.9] Os domínios do OpenSearch devem ser marcados

[Opensearch.10] Os domínios do OpenSearch devem ter a atualização de software mais recente instalada

[Opensearch.11] Os domínios do OpenSearch devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação raiz CA Privada da AWS deve ser desabilitada

[PCA.2] As autoridades de certificado CA privadas da AWS devem ser marcadas com tags

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC

[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.34] Os clusters de banco de dados do MySQL devem publicar logs de auditoria no CloudWatch Logs

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.36] As instâncias de banco de dados do Amazon RDS para PostgreSQL devem publicar logs no CloudWatch Logs

[RDS.37] Os clusters de banco de dados PostgreSQL do Aurora devem publicar logs de auditoria no CloudWatch Logs

[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito

[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito

[RDS.40] As instâncias de bancos de dados do RDS para SQL Server devem publicar logs no CloudWatch Logs

[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito

[RDS.42] As instâncias de bancos de dados do RDS para MariaDB devem publicar logs no CloudWatch Logs

[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões

[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito

[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado

[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet

[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots

[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados

[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas

[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade

[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags

[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[RedshiftServerless.3] Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público

[RedshiftServerless.4] Os namespaces do Redshift sem servidor devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces do Redshift sem servidor devem exportar registros para o CloudWatch Logs

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

[S3.12] As ACLs não devem ser usadas para gerenciar o acesso de usuários a buckets de uso geral do S3

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[SageMaker.1] As instâncias de caderno do Amazon SageMaker não devem ter acesso direto à Internet

[SageMaker.2] As instâncias do notebook SageMaker devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso raiz às instâncias do notebook do SageMaker

[SageMaker.4] As variantes de produção de endpoints do SageMaker devem ter um número inicial de instâncias maior do que 1

[SageMaker.5] Os modelos do SageMaker devem ter o isolamento de rede habilitado

[SageMaker.6] As configurações de imagem da aplicação do SageMaker devem ser marcadas com tags

[SageMaker.7] As imagens do SageMaker devem ser marcadas com tags

[SageMaker.8] As instâncias de notebook do SageMaker devem ser executadas em plataformas com suporte

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização da AWS

[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público

PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.4] Os documentos SSM não devem ser públicos

[SSM.5] Os documentos do SSM devem ser marcados com tags

[SSM.6] O SSM Automation deve ter o registro em log do CloudWatch habilitado

[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

[Transfer.1] Os fluxos de trabalho do AWS Transfer Family devem ser marcados

[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints

[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado

[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags

[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags

[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags

[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.2] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.4] As AWS WAF Classic Regional web ACLs devem ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WAF.10] As AWS WAF web ACLs devem ter pelo menos uma regra ou grupo de regras

[WAF.12] As regras do AWS WAF devem ter as métricas do CloudWatch habilitadas

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API de Gateway

[Amplify.1] As aplicações do Amplify devem ser marcadas com tags

[Amplify.2] As ramificações do Amplify devem ser marcadas com tags

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em log em nível de campo habilitado

[AppSync.5] As APIs do AWS AppSync GraphQL não devem ser autenticadas com chaves de API

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso

[Backup.4] Os planos de relatórios do AWS Backup devem ser marcados

[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags

[Batch.3] Ambientes de computação do Batch devem ser marcados com tags

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos

[EC2.23] Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede

[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas

[EC2.40] Os gateways de NAT do EC2 devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[[EC2.170] Os modelos de inicialização do EC2 devem usar o Instance Metadata Service versão 2 (IMDSv2)

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags

[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas

[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito

[ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado

[ElastiCache.2] Os clusters do ElastiCache devem ter as atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] Os grupos de replicação do ElastiCache devem ter o failover automático habilitado

[ElastiCache.4] Os grupos de replicação do ElastiCache devem ser criptografados em repouso

[ElastiCache.5] Os grupos de replicação do ElastiCache devem ser criptografados em trânsito

[ElastiCache.6] Os grupos de replicação do ElastiCache (Redis OSS) de versões anteriores devem ter a AUTH do Redis OSS habilitada

[ElastiCache.7] Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir logs para o CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[ES.4] O registro em log de erros do domínio Elasticsearch no CloudWatch Logs deve ser ativado

[EventBridge.4] Os endpoints globais do EventBridge devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[FSx.1] Os sistemas de arquivos do Amazon FSx para OpenZFS devem estar configurados para copiar tags para backups e volumes.

[FSx.3] Os sistemas de arquivos FSx para OpenZFS devem estar configurados para implantação multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões com suporte do AWS Glue

[GuardDuty.2] Os filtros GuardDuty devem ser marcados

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política AWSCloudShellFullAccess anexada

[Inspector.1] A varredura do EC2 do Amazon Inspector deve estar habilitada

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados

[IoT.2] As ações de mitigação do AWS IoT Core devem ser marcadas

[IoT.3] As dimensões do AWS IoT Core devem ser marcadas

[IoT.4] Os autorizadores do AWS IoT Core devem ser marcados

[IoT.5] Os aliases de perfil do AWS IoT Core devem ser marcados

[IoT.6] As políticas do AWS IoT Core devem ser marcadas

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados do Neptune devem publicar logs de auditoria no CloudWatch Logs

[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[Opensearch.1] Os domínios do OpenSearch devem ter a criptografia em repouso habilitada

[Opensearch.2] Os domínios do OpenSearch não devem ser publicamente acessíveis

[Opensearch.3] Os domínios do OpenSearch devem criptografar os dados enviados entre os nós

[Opensearch.4] O registro em log de erros de domínio do OpenSearch no CloudWatch Logs deve estar ativado

[Opensearch.5] Os domínios do OpenSearch devem ter o registro em log de auditoria ativado

[Opensearch.6] Os domínios do OpenSearch devem ter pelo menos três nós de dados

[Opensearch.7] Os domínios do OpenSearch devem ter um controle de acesso refinado habilitado

[Opensearch.8] As conexões com os domínios do OpenSearch devem ser criptografadas com a política de segurança TLS mais recente

[Opensearch.9] Os domínios do OpenSearch devem ser marcados

[Opensearch.10] Os domínios do OpenSearch devem ter a atualização de software mais recente instalada

[Opensearch.11] Os domínios do OpenSearch devem ter pelo menos três nós primários dedicados

[RDS.1] Os snapshots do RDS devem ser privados

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.37] Os clusters de banco de dados PostgreSQL do Aurora devem publicar logs de auditoria no CloudWatch Logs

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[RedshiftServerless.3] Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público

[RedshiftServerless.4] Os namespaces do Redshift sem servidor devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces do Redshift sem servidor devem exportar registros para o CloudWatch Logs

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[SageMaker.1] As instâncias de caderno do Amazon SageMaker não devem ter acesso direto à Internet

[SageMaker.2] As instâncias do notebook SageMaker devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso raiz às instâncias do notebook do SageMaker

[SageMaker.5] Os modelos do SageMaker devem ter o isolamento de rede habilitado

[SageMaker.6] As configurações de imagem da aplicação do SageMaker devem ser marcadas com tags

[SageMaker.7] As imagens do SageMaker devem ser marcadas com tags

[SageMaker.8] As instâncias de notebook do SageMaker devem ser executadas em plataformas com suporte

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público

PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.4] Os documentos SSM não devem ser públicos

[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado

[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[ACM.3] Os certificados do ACM devem ser marcados

[Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS

[Account.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.1] O registro de execução da API de Gateway, REST e API de WebSocket deve estar ativado

[APIGateway.2] Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end

[APIGateway.3] Os estágios da API REST de Gateway devem ter o rastreamento AWS X-Ray habilitado

[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL

[APIGateway.5] Os dados do cache da API REST de Gateway devem ser criptografados em repouso

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API de Gateway

[Amplify.1] As aplicações do Amplify devem ser marcadas com tags

[Amplify.2] As ramificações do Amplify devem ser marcadas com tags

[AppConfig.1] As aplicações do AWS AppConfig devem ser marcadas com tags

[AppConfig.2] Os perfis de configuração do AWS AppConfig devem ser marcados com tags

[AppConfig.3] Os ambientes do AWS AppConfig devem ser marcados com tags

[AppConfig.4] As associações de extensão do AWS AppConfig devem ser marcadas com tags

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em log em nível de campo habilitado

[AppSync.4] As APIs do AWS AppSync GraphQL devem ser marcadas

[AppSync.5] As APIs do AWS AppSync GraphQL não devem ser autenticadas com chaves de API

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado

[PCI.AutoScaling.1] Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB

[AutoScaling.2] O grupo do Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem configurar as instâncias do EC2 para que exijam o Instance Metadata Service versão 2 (IMDSv2)

[AutoScaling.6] Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

Os grupos do Amazon EC2 Auto Scaling devem usar modelos de lançamento do Amazon EC2

[AutoScaling.10] Os grupos do EC2 Auto Scaling devem ser marcados

[Autoscaling.5] As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso

[Backup.2] Os pontos de recuperação do AWS Backup devem ser marcados

[Backup.3] Os cofres do AWS Backup devem ser marcados

[Backup.4] Os planos de relatórios do AWS Backup devem ser marcados

[Backup.5] Os planos de backup do AWS Backup devem ser marcados

[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags

[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags

[Batch.3] Ambientes de computação do Batch devem ser marcados com tags

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags

[CloudFormation.2] As pilhas do CloudFormation devem ser marcadas

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CloudTrail.6] Certifique-se de que o bucket do S3 usado para armazenar registros do CloudTrail não esteja acessível ao público

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail

[CloudTrail.9] As trilhas do CloudTrail devem ser marcadas

[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[CloudWatch.17] As ações de alarme do CloudWatch devem ser ativadas

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeBuild.1] Os URLs dos repositórios Bitbucket de fontes do CodeBuild não devem conter credenciais confidenciais

[CodeBuild.2] As variáveis de ambiente do projeto do CodeBuild não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os logs do CodeBuild S3 devem ser criptografados

[CodeBuild.4] Os ambientes do projeto CodeBuild devem ter uma configuração de registro em log AWS Config

[CodeBuild.7] As exportações de grupos de relatórios do CodeBuild devem ser criptografadas em repouso

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão

[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas

[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[DataSync.1] As tarefas do DataSync devem ter o registro em log habitado

[DataSync.2] As tarefas do DataSync devem ser marcadas com tags

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoB.5] As tabelas do DynamoDB devem ser marcadas

[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado

[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2

[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco

[EC2.21] As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos

[EC2.23] Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados

[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas

[EC2.35] As interfaces de rede do EC2 devem ser marcadas

[EC2.36] Os gateways dos clientes do EC2 devem ser marcados

[EC2.37] Os endereços IP elásticos do EC2 devem ser marcados

[EC2.38] As instâncias do EC2 devem ser marcadas

[EC2.39] Os gateways da Internet do EC2 devem ser marcados

[EC2.40] Os gateways de NAT do EC2 devem ser marcados

[EC2.41] As ACLs de rede do EC2 devem ser marcadas

[EC2.42] As tabelas de rotas do EC2 devem ser marcadas

[EC2.43] Os grupos de segurança do EC2 devem ser marcados

[EC2.44] As sub-redes do EC2 devem ser marcadas

[EC2.45] Os volumes do EC2 devem ser marcados

[EC2.46] As Amazon VPCs devem ser marcadas

[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas

[EC2.50] Os gateways de VPN do EC2 devem ser marcados

[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado

[EC2.52] Os gateways de trânsito do EC2 devem ser marcados

[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto

[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API do ECR

[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o registro do Docker

[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[[EC2.170] Os modelos de inicialização do EC2 devem usar o Instance Metadata Service versão 2 (IMDSv2)

[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado

[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags

[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags

[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags

[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.180] As interfaces de rede do EC2 devem ter a verificação de origem/destino habilitada

[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS

[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada

[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ECR.5] Os repositórios de ECR devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário

[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente

[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host

[ECS.4] Os contêineres ECS devem ser executados sem privilégios

[ECS.5] Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log

[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.12] Os clusters do ECS devem usar Container Insights

[ECS.13] Os serviços do ECS devem ser marcados

[ECS.14] Os clusters do ECS devem ser marcados

[ECS.15] As definições de tarefas do ECS devem ser marcadas

[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos

[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz

[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário

[EFS.5] Os pontos de acesso do EFS devem ser marcados

[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização

[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados

[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público

[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes

[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes

[EKS.6] Os clusters do EKS devem ser marcados

[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas

[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado

[ELB.2] Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS

[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada

[ELB.8] Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração AWS Config forte

[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade

[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.16] Os Application Load Balancers devem ser associados a um AWS WAF web ACL

[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas

[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito

[ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado

[ElastiCache.2] Os clusters do ElastiCache devem ter as atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] Os grupos de replicação do ElastiCache devem ter o failover automático habilitado

[ElastiCache.4] Os grupos de replicação do ElastiCache devem ser criptografados em repouso

[ElastiCache.5] Os grupos de replicação do ElastiCache devem ser criptografados em trânsito

[ElastiCache.6] Os grupos de replicação do ElastiCache (Redis OSS) de versões anteriores devem ter a AUTH do Redis OSS habilitada

[ElastiCache.7] Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir logs para o CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro em log de erros do domínio Elasticsearch no CloudWatch Logs deve ser ativado

[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado

[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados

[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados

[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente

[ES.9] Os domínios do Elasticsearch devem ser marcados

[EventBridge.2] Os barramentos de eventos do EventBridge devem ser marcados

[EventBridge.3] Os barramentos de eventos personalizados do EventBridge devem ter uma política baseada em recursos anexada

[EventBridge.4] Os endpoints globais do EventBridge devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[FSx.1] Os sistemas de arquivos do Amazon FSx para OpenZFS devem estar configurados para copiar tags para backups e volumes.

[FSx.2] Os sistemas de arquivos FSx para Lustre devem ser configurados para copiar tags em backups

[FSx.3] Os sistemas de arquivos FSx para OpenZFS devem estar configurados para implantação multi-AZ

[FSx.4] Os sistemas de arquivos NetApp ONTAP devem estar configurados para implantação multi-AZ

[FSx.5] Os sistemas de arquivos Windows File Server devem estar configurados para implantação multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.1] Os trabalhos do AWS Glue devem ser marcados

[Glue.3] As transformações de machine learning do AWS Glue devem ser criptografadas em repouso

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões com suporte do AWS Glue

[GuardDuty.1] O GuardDuty deve estar habilitado

[GuardDuty.2] Os filtros GuardDuty devem ser marcados

[GuardDuty.3] Os IPSets do GuardDuty devem ser marcados

[GuardDuty.4] Os detectores do GuardDuty devem ser marcados

[GuardDuty.5] O Monitoramento de Logs de Auditoria do EKS do GuardDuty deve estar habilitado

[GuardDuty.6] A Proteção do Lambda do GuardDuty deve estar habilitada

[GuardDuty.7] O Monitoramento de Runtime do EKS do GuardDuty deve estar habilitado

[GuardDuty.8] A Proteção contra Malware para EC2 do GuardDuty deve estar habilitada

[GuardDuty.9] A proteção do RDS do GuardDuty deve estar habilitada

[GuardDuty.10] A proteção do S3 do GuardDuty deve estar habilitada

[GuardDuty.11] O Monitoramento de Runtime do GuardDuty deve estar habilitado

[GuardDuty.12] O monitoramento de runtime do ECS do GuardDuty deve estar habilitado

[GuardDuty.13] O monitoramento de runtime do EC2 do GuardDuty deve estar habilitado

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] A MFA deve estar habilitada para o usuário raiz

[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política AWSCloudShellFullAccess anexada

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[Inspector.1] A varredura do EC2 do Amazon Inspector deve estar habilitada

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados

[IoT.2] As ações de mitigação do AWS IoT Core devem ser marcadas

[IoT.3] As dimensões do AWS IoT Core devem ser marcadas

[IoT.4] Os autorizadores do AWS IoT Core devem ser marcados

[IoT.5] Os aliases de perfil do AWS IoT Core devem ser marcados

[IoT.6] As políticas do AWS IoT Core devem ser marcadas

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[Kinesis.2] Os fluxos do Kinesis devem ser marcados

[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[KMS.3] O AWS KMS keys não deve ser excluído acidentalmente

[KMS.5] As chaves do KMS não devem estar acessíveis ao público

[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade

[Lambda.6] As funções do Lambda devem ser marcadas

[Lambda.7] As funções do Lambda devem ter o rastreamento ativo do AWS X-Ray habilitado

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os agentes do ActiveMQ devem transmitir os logs de auditoria para o CloudWatch

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente

[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.4] Os clusters do MSK devem ter acesso público desabilitado

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados do Neptune devem publicar logs de auditoria no CloudWatch Logs

[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade.

[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado

[NetworkFirewall.3] As políticas de firewall de rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes completos.

[NetworkFirewall.5] A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados.

[NetworkFirewall.6] O grupo de regras de firewall de rede sem estado não deve estar vazio

[NetworkFirewall.7] Os firewalls do Network Firewall devem ser marcados

[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas

[NetworkFirewall.9] Os firewalls do firewall de rede devem ter a proteção contra exclusão ativada

[NetworkFirewall.10] Os firewalls do Network Firewall devem ter a proteção contra alteração de sub-rede habilitada

[Opensearch.1] Os domínios do OpenSearch devem ter a criptografia em repouso habilitada

[Opensearch.2] Os domínios do OpenSearch não devem ser publicamente acessíveis

[Opensearch.3] Os domínios do OpenSearch devem criptografar os dados enviados entre os nós

[Opensearch.4] O registro em log de erros de domínio do OpenSearch no CloudWatch Logs deve estar ativado

[Opensearch.5] Os domínios do OpenSearch devem ter o registro em log de auditoria ativado

[Opensearch.6] Os domínios do OpenSearch devem ter pelo menos três nós de dados

[Opensearch.7] Os domínios do OpenSearch devem ter um controle de acesso refinado habilitado

[Opensearch.8] As conexões com os domínios do OpenSearch devem ser criptografadas com a política de segurança TLS mais recente

[Opensearch.9] Os domínios do OpenSearch devem ser marcados

[Opensearch.10] Os domínios do OpenSearch devem ter a atualização de software mais recente instalada

[Opensearch.11] Os domínios do OpenSearch devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação raiz CA Privada da AWS deve ser desabilitada

[PCA.2] As autoridades de certificado CA privadas da AWS devem ser marcadas com tags

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados

[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots

[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC

[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster

[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados

[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados

[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados

[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados

[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados

[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados

[RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.32] Os snapshots de banco de dados do RDS devem ser marcados

[RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados

[RDS.34] Os clusters de banco de dados do MySQL devem publicar logs de auditoria no CloudWatch Logs

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.36] As instâncias de banco de dados do Amazon RDS para PostgreSQL devem publicar logs no CloudWatch Logs

[RDS.37] Os clusters de banco de dados PostgreSQL do Aurora devem publicar logs de auditoria no CloudWatch Logs

[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito

[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito

[RDS.40] As instâncias de bancos de dados do RDS para SQL Server devem publicar logs no CloudWatch Logs

[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito

[RDS.42] As instâncias de bancos de dados do RDS para MariaDB devem publicar logs no CloudWatch Logs

[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões

[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito

[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado

[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet

[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots

[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots

[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados

[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado

[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado

[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.11] Os clusters do Redshift devem ser marcados

[Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas

[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados

[Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas

[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade

[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags

[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[RedshiftServerless.3] Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público

[RedshiftServerless.4] Os namespaces do Redshift sem servidor devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces do Redshift sem servidor devem exportar registros para o CloudWatch Logs

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

[S3.12] As ACLs não devem ser usadas para gerenciar o acesso de usuários a buckets de uso geral do S3

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys

[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[SageMaker.1] As instâncias de caderno do Amazon SageMaker não devem ter acesso direto à Internet

[SageMaker.2] As instâncias do notebook SageMaker devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso raiz às instâncias do notebook do SageMaker

[SageMaker.4] As variantes de produção de endpoints do SageMaker devem ter um número inicial de instâncias maior do que 1

[SageMaker.5] Os modelos do SageMaker devem ter o isolamento de rede habilitado

[SageMaker.6] As configurações de imagem da aplicação do SageMaker devem ser marcadas com tags

[SageMaker.7] As imagens do SageMaker devem ser marcadas com tags

[SageMaker.8] As instâncias de notebook do SageMaker devem ser executadas em plataformas com suporte

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

Os segredos do Secrets Manager devem ter a alternância automática ativada

Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso

[SecretsManager.3] Remover segredos do Secrets Manager não utilizados

[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias

[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização da AWS

[SNS.3] Os tópicos do SNS devem ser marcados

[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público

PCI.SSM.3 As instâncias do Amazon EC2 devem ser gerenciadas pelo AWS Systems Manager

[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch

PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.4] Os documentos SSM não devem ser públicos

[SSM.5] Os documentos do SSM devem ser marcados com tags

[SSM.6] O SSM Automation deve ter o registro em log do CloudWatch habilitado

[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

[Transfer.1] Os fluxos de trabalho do AWS Transfer Family devem ser marcados

[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints

[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado

[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags

[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags

[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags

[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.2] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.4] As AWS WAF Classic Regional web ACLs devem ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WAF.10] As AWS WAF web ACLs devem ter pelo menos uma regra ou grupo de regras

[WAF.11] O registro em log de ACL da web do AWS WAF deve estar ativado

[WAF.12] As regras do AWS WAF devem ter as métricas do CloudWatch habilitadas

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso

[Backup.4] Os planos de relatórios do AWS Backup devem ser marcados

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389

[EC2.20] Ambos os túneis VPN para uma conexão VPN site a site da AWS devem estar ativos

[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos

[EC2.23] Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API do ECR

[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o registro do Docker

[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS

[ELB.2] Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS

[ELB.8] Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração AWS Config forte

[ELB.16] Os Application Load Balancers devem ser associados a um AWS WAF web ACL

[ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado

[ElastiCache.7] Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados

[IoT.2] As ações de mitigação do AWS IoT Core devem ser marcadas

[IoT.3] As dimensões do AWS IoT Core devem ser marcadas

[IoT.4] Os autorizadores do AWS IoT Core devem ser marcados

[IoT.5] Os aliases de perfil do AWS IoT Core devem ser marcados

[IoT.6] As políticas do AWS IoT Core devem ser marcadas

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[RedshiftServerless.3] Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público

[RedshiftServerless.4] Os namespaces do Redshift sem servidor devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces do Redshift sem servidor devem exportar registros para o CloudWatch Logs

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch

PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WAF.10] As AWS WAF web ACLs devem ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[EC2.180] As interfaces de rede do EC2 devem ter a verificação de origem/destino habilitada

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões com suporte do AWS Glue

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[Lambda.7] As funções do Lambda devem ter o rastreamento ativo do AWS X-Ray habilitado

[MSK.4] Os clusters do MSK devem ter acesso público desabilitado

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[SSM.6] O SSM Automation deve ter o registro em log do CloudWatch habilitado

[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[ACM.3] Os certificados do ACM devem ser marcados

[Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS

[Account.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.1] O registro de execução da API de Gateway, REST e API de WebSocket deve estar ativado

[APIGateway.2] Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end

[APIGateway.3] Os estágios da API REST de Gateway devem ter o rastreamento AWS X-Ray habilitado

[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL

[APIGateway.5] Os dados do cache da API REST de Gateway devem ser criptografados em repouso

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API de Gateway

[Amplify.1] As aplicações do Amplify devem ser marcadas com tags

[Amplify.2] As ramificações do Amplify devem ser marcadas com tags

[AppConfig.1] As aplicações do AWS AppConfig devem ser marcadas com tags

[AppConfig.2] Os perfis de configuração do AWS AppConfig devem ser marcados com tags

[AppConfig.3] Os ambientes do AWS AppConfig devem ser marcados com tags

[AppConfig.4] As associações de extensão do AWS AppConfig devem ser marcadas com tags

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em log em nível de campo habilitado

[AppSync.4] As APIs do AWS AppSync GraphQL devem ser marcadas

[AppSync.5] As APIs do AWS AppSync GraphQL não devem ser autenticadas com chaves de API

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado

[PCI.AutoScaling.1] Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB

[AutoScaling.2] O grupo do Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem configurar as instâncias do EC2 para que exijam o Instance Metadata Service versão 2 (IMDSv2)

[AutoScaling.6] Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

Os grupos do Amazon EC2 Auto Scaling devem usar modelos de lançamento do Amazon EC2

[AutoScaling.10] Os grupos do EC2 Auto Scaling devem ser marcados

[Autoscaling.5] As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso

[Backup.2] Os pontos de recuperação do AWS Backup devem ser marcados

[Backup.3] Os cofres do AWS Backup devem ser marcados

[Backup.4] Os planos de relatórios do AWS Backup devem ser marcados

[Backup.5] Os planos de backup do AWS Backup devem ser marcados

[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags

[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags

[Batch.3] Ambientes de computação do Batch devem ser marcados com tags

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags

[CloudFormation.2] As pilhas do CloudFormation devem ser marcadas

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem

[CloudFront.14] As distribuições do CloudFront devem ser marcadas

[CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada

[CloudFront.16] As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda

[CloudTrail.6] Certifique-se de que o bucket do S3 usado para armazenar registros do CloudTrail não esteja acessível ao público

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail

[CloudTrail.9] As trilhas do CloudTrail devem ser marcadas

[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[CloudWatch.17] As ações de alarme do CloudWatch devem ser ativadas

[CodeArtifact.1] Os repositórios CodeArtifact devem ser marcados

[CodeBuild.1] Os URLs dos repositórios Bitbucket de fontes do CodeBuild não devem conter credenciais confidenciais

[CodeBuild.2] As variáveis de ambiente do projeto do CodeBuild não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os logs do CodeBuild S3 devem ser criptografados

[CodeBuild.4] Os ambientes do projeto CodeBuild devem ter uma configuração de registro em log AWS Config

[CodeBuild.7] As exportações de grupos de relatórios do CodeBuild devem ser criptografadas em repouso

[CodeGuruProfiler.1] Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags

[CodeGuruReviewer.1] As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão

[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas

[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes

[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags

[Connect.2] As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[DataSync.1] As tarefas do DataSync devem ter o registro em log habitado

[DataSync.2] As tarefas do DataSync devem ser marcadas com tags

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoB.5] As tabelas do DynamoDB devem ser marcadas

[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado

[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2

[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco

[EC2.21] As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos

[EC2.23] Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

Os tipos de instância paravirtual do Amazon EC2 não devem ser usados

Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados

[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas

[EC2.35] As interfaces de rede do EC2 devem ser marcadas

[EC2.36] Os gateways dos clientes do EC2 devem ser marcados

[EC2.37] Os endereços IP elásticos do EC2 devem ser marcados

[EC2.38] As instâncias do EC2 devem ser marcadas

[EC2.39] Os gateways da Internet do EC2 devem ser marcados

[EC2.40] Os gateways de NAT do EC2 devem ser marcados

[EC2.41] As ACLs de rede do EC2 devem ser marcadas

[EC2.42] As tabelas de rotas do EC2 devem ser marcadas

[EC2.43] Os grupos de segurança do EC2 devem ser marcados

[EC2.44] As sub-redes do EC2 devem ser marcadas

[EC2.45] Os volumes do EC2 devem ser marcados

[EC2.46] As Amazon VPCs devem ser marcadas

[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas

[EC2.50] Os gateways de VPN do EC2 devem ser marcados

[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado

[EC2.52] Os gateways de trânsito do EC2 devem ser marcados

[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto

[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API do ECR

[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o registro do Docker

[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager

[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager

[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager

[[EC2.170] Os modelos de inicialização do EC2 devem usar o Instance Metadata Service versão 2 (IMDSv2)

[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado

[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet

[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS

[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags

[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags

[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags

[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags

[EC2.180] As interfaces de rede do EC2 devem ter a verificação de origem/destino habilitada

[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS

[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada

[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ECR.5] Os repositórios de ECR devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário

[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente

[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host

[ECS.4] Os contêineres ECS devem ser executados sem privilégios

[ECS.5] Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log

[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.12] Os clusters do ECS devem usar Container Insights

[ECS.13] Os serviços do ECS devem ser marcados

[ECS.14] Os clusters do ECS devem ser marcados

[ECS.15] As definições de tarefas do ECS devem ser marcadas

[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos

[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz

[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário

[EFS.5] Os pontos de acesso do EFS devem ser marcados

[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização

[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados

[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público

[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes

[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes

[EKS.6] Os clusters do EKS devem ser marcados

[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas

[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado

[ELB.2] Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS

[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada

[ELB.8] Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração AWS Config forte

[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade

[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.16] Os Application Load Balancers devem ser associados a um AWS WAF web ACL

[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas

[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito

[ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado

[ElastiCache.2] Os clusters do ElastiCache devem ter as atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] Os grupos de replicação do ElastiCache devem ter o failover automático habilitado

[ElastiCache.4] Os grupos de replicação do ElastiCache devem ser criptografados em repouso

[ElastiCache.5] Os grupos de replicação do ElastiCache devem ser criptografados em trânsito

[ElastiCache.6] Os grupos de replicação do ElastiCache (Redis OSS) de versões anteriores devem ter a AUTH do Redis OSS habilitada

[ElastiCache.7] Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir logs para o CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro em log de erros do domínio Elasticsearch no CloudWatch Logs deve ser ativado

[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado

[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados

[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados

[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente

[ES.9] Os domínios do Elasticsearch devem ser marcados

[EventBridge.2] Os barramentos de eventos do EventBridge devem ser marcados

[EventBridge.3] Os barramentos de eventos personalizados do EventBridge devem ter uma política baseada em recursos anexada

[EventBridge.4] Os endpoints globais do EventBridge devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados com tags

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas com tags

[FSx.1] Os sistemas de arquivos do Amazon FSx para OpenZFS devem estar configurados para copiar tags para backups e volumes.

[FSx.2] Os sistemas de arquivos FSx para Lustre devem ser configurados para copiar tags em backups

[FSx.3] Os sistemas de arquivos FSx para OpenZFS devem estar configurados para implantação multi-AZ

[FSx.4] Os sistemas de arquivos NetApp ONTAP devem estar configurados para implantação multi-AZ

[FSx.5] Os sistemas de arquivos Windows File Server devem estar configurados para implantação multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.1] Os trabalhos do AWS Glue devem ser marcados

[Glue.3] As transformações de machine learning do AWS Glue devem ser criptografadas em repouso

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões com suporte do AWS Glue

[GuardDuty.1] O GuardDuty deve estar habilitado

[GuardDuty.2] Os filtros GuardDuty devem ser marcados

[GuardDuty.3] Os IPSets do GuardDuty devem ser marcados

[GuardDuty.4] Os detectores do GuardDuty devem ser marcados

[GuardDuty.5] O Monitoramento de Logs de Auditoria do EKS do GuardDuty deve estar habilitado

[GuardDuty.6] A Proteção do Lambda do GuardDuty deve estar habilitada

[GuardDuty.7] O Monitoramento de Runtime do EKS do GuardDuty deve estar habilitado

[GuardDuty.8] A Proteção contra Malware para EC2 do GuardDuty deve estar habilitada

[GuardDuty.9] A proteção do RDS do GuardDuty deve estar habilitada

[GuardDuty.10] A proteção do S3 do GuardDuty deve estar habilitada

[GuardDuty.11] O Monitoramento de Runtime do GuardDuty deve estar habilitado

[GuardDuty.12] O monitoramento de runtime do ECS do GuardDuty deve estar habilitado

[GuardDuty.13] O monitoramento de runtime do EC2 do GuardDuty deve estar habilitado

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] A MFA deve estar habilitada para o usuário raiz

[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política AWSCloudShellFullAccess anexada

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[Inspector.1] A varredura do EC2 do Amazon Inspector deve estar habilitada

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados

[IoT.2] As ações de mitigação do AWS IoT Core devem ser marcadas

[IoT.3] As dimensões do AWS IoT Core devem ser marcadas

[IoT.4] Os autorizadores do AWS IoT Core devem ser marcados

[IoT.5] Os aliases de perfil do AWS IoT Core devem ser marcados

[IoT.6] As políticas do AWS IoT Core devem ser marcadas

[IoTEvents.1] As entradas do AWS IoT Events devem ser marcadas com tags

[IoTEvents.2] Os modelos de detectores do AWS IoT Events devem ser marcados com tags

[IoTEvents.3] Os modelos de alarme do AWS IoT Events devem ser marcados com tags

[IoTSitewise.1] Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.2] Os painéis do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.3] Os gateways do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.4] Os portais do AWS IoT SiteWise devem ser marcados com tags

[IoTSiteWise.5] Os projetos do AWS IoT SiteWise devem ser marcados com tags

[IoTwinMaker.1] Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.2] Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags

[IoTwinMaker.3] As cenas do AWS IoT TwinMaker devem ser marcadas com tags

[IoTwinMaker.4] As entidades do AWS IoT TwinMaker devem ser marcadas com tags

[IoT Wireless.1] Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.2] Os perfis do serviço do AWS IoT Wireless devem ser marcados com tags

[IoT Wireless.3] As tarefas do AWS IoT FUOTA devem ser marcadas com tags

[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags

[IVS.2] As configurações de gravação IVS devem ser marcadas com tags

[IVS.3] Os canais do IVS devem ser marcados com tags

[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[Kinesis.2] Os fluxos do Kinesis devem ser marcados

[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[KMS.3] O AWS KMS keys não deve ser excluído acidentalmente

[KMS.5] As chaves do KMS não devem estar acessíveis ao público

[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade

[Lambda.6] As funções do Lambda devem ser marcadas

[Lambda.7] As funções do Lambda devem ter o rastreamento ativo do AWS X-Ray habilitado

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os agentes do ActiveMQ devem transmitir os logs de auditoria para o CloudWatch

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente

[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[MSK.4] Os clusters do MSK devem ter acesso público desabilitado

[MSK.5] Os conectores do MSK devem ter o registro em log habilitado

[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados do Neptune devem publicar logs de auditoria no CloudWatch Logs

[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade.

[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado

[NetworkFirewall.3] As políticas de firewall de rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes completos.

[NetworkFirewall.5] A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados.

[NetworkFirewall.6] O grupo de regras de firewall de rede sem estado não deve estar vazio

[NetworkFirewall.7] Os firewalls do Network Firewall devem ser marcados

[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas

[NetworkFirewall.9] Os firewalls do firewall de rede devem ter a proteção contra exclusão ativada

[NetworkFirewall.10] Os firewalls do Network Firewall devem ter a proteção contra alteração de sub-rede habilitada

[Opensearch.1] Os domínios do OpenSearch devem ter a criptografia em repouso habilitada

[Opensearch.2] Os domínios do OpenSearch não devem ser publicamente acessíveis

[Opensearch.3] Os domínios do OpenSearch devem criptografar os dados enviados entre os nós

[Opensearch.4] O registro em log de erros de domínio do OpenSearch no CloudWatch Logs deve estar ativado

[Opensearch.5] Os domínios do OpenSearch devem ter o registro em log de auditoria ativado

[Opensearch.6] Os domínios do OpenSearch devem ter pelo menos três nós de dados

[Opensearch.7] Os domínios do OpenSearch devem ter um controle de acesso refinado habilitado

[Opensearch.8] As conexões com os domínios do OpenSearch devem ser criptografadas com a política de segurança TLS mais recente

[Opensearch.9] Os domínios do OpenSearch devem ser marcados

[Opensearch.10] Os domínios do OpenSearch devem ter a atualização de software mais recente instalada

[Opensearch.11] Os domínios do OpenSearch devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação raiz CA Privada da AWS deve ser desabilitada

[PCA.2] As autoridades de certificado CA privadas da AWS devem ser marcadas com tags

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados

[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots

[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC

[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster

[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados

[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados

[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados

[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados

[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados

[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados

[RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.32] Os snapshots de banco de dados do RDS devem ser marcados

[RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados

[RDS.34] Os clusters de banco de dados do MySQL devem publicar logs de auditoria no CloudWatch Logs

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.36] As instâncias de banco de dados do Amazon RDS para PostgreSQL devem publicar logs no CloudWatch Logs

[RDS.37] Os clusters de banco de dados PostgreSQL do Aurora devem publicar logs de auditoria no CloudWatch Logs

[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito

[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito

[RDS.40] As instâncias de bancos de dados do RDS para SQL Server devem publicar logs no CloudWatch Logs

[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito

[RDS.42] As instâncias de bancos de dados do RDS para MariaDB devem publicar logs no CloudWatch Logs

[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões

[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito

[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado

[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet

[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots

[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots

[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados

[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado

[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado

[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.11] Os clusters do Redshift devem ser marcados

[Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas

[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados

[Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas

[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade

[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags

[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC

[RedshiftServerless.2] Conexões com grupos de trabalho do Redshift sem servidor devem ter uso de SSL obrigatório

[RedshiftServerless.3] Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público

[RedshiftServerless.4] Os namespaces do Redshift sem servidor devem ser criptografados com AWS KMS keys gerenciadas pelo cliente

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces do Redshift sem servidor devem exportar registros para o CloudWatch Logs

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

[S3.12] As ACLs não devem ser usadas para gerenciar o acesso de usuários a buckets de uso geral do S3

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys

[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida

[SageMaker.1] As instâncias de caderno do Amazon SageMaker não devem ter acesso direto à Internet

[SageMaker.2] As instâncias do notebook SageMaker devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso raiz às instâncias do notebook do SageMaker

[SageMaker.4] As variantes de produção de endpoints do SageMaker devem ter um número inicial de instâncias maior do que 1

[SageMaker.5] Os modelos do SageMaker devem ter o isolamento de rede habilitado

[SageMaker.6] As configurações de imagem da aplicação do SageMaker devem ser marcadas com tags

[SageMaker.7] As imagens do SageMaker devem ser marcadas com tags

[SageMaker.8] As instâncias de notebook do SageMaker devem ser executadas em plataformas com suporte

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

Os segredos do Secrets Manager devem ter a alternância automática ativada

Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso

[SecretsManager.3] Remover segredos do Secrets Manager não utilizados

[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias

[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização da AWS

[SNS.3] Os tópicos do SNS devem ser marcados

[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público

PCI.SSM.3 As instâncias do Amazon EC2 devem ser gerenciadas pelo AWS Systems Manager

[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch

PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.4] Os documentos SSM não devem ser públicos

[SSM.5] Os documentos do SSM devem ser marcados com tags

[SSM.6] O SSM Automation deve ter o registro em log do CloudWatch habilitado

[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

[Transfer.1] Os fluxos de trabalho do AWS Transfer Family devem ser marcados

[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints

[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado

[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags

[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags

[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags

[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags

[WAF.1]O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.2] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.4] As AWS WAF Classic Regional web ACLs devem ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras

[WAF.10] As AWS WAF web ACLs devem ter pelo menos uma regra ou grupo de regras

[WAF.11] O registro em log de ACL da web do AWS WAF deve estar ativado

[WAF.12] As regras do AWS WAF devem ter as métricas do CloudWatch habilitadas

[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso

[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS

[Account.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API de Gateway

[Amplify.1] As aplicações do Amplify devem ser marcadas com tags

[Amplify.2] As ramificações do Amplify devem ser marcadas com tags

[AppConfig.1] As aplicações do AWS AppConfig devem ser marcadas com tags

[AppConfig.2] Os perfis de configuração do AWS AppConfig devem ser marcados com tags

[AppConfig.3] Os ambientes do AWS AppConfig devem ser marcados com tags

[AppConfig.4] As associações de extensão do AWS AppConfig devem ser marcadas com tags

[AppFlow.1] Os fluxos do Amazon AppFlow devem ser marcados com tags

[AppRunner.1] Os serviços do App Runner devem ser marcados com tags

[AppRunner.2] Os conectores de VPC do App Runner devem ser marcados com tags

[AppSync.1] Os caches da API do AWS AppSync devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em log em nível de campo habilitado

[AppSync.4] As APIs do AWS AppSync GraphQL devem ser marcadas

[AppSync.5] As APIs do AWS AppSync GraphQL não devem ser autenticadas com chaves de API

[AppSync.6] Os caches de API do AWS AppSync devem ser criptografados em trânsito

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado

[AutoScaling.2] O grupo do Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem configurar as instâncias do EC2 para que exijam o Instance Metadata Service versão 2 (IMDSv2)

[AutoScaling.6] Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

Os grupos do Amazon EC2 Auto Scaling devem usar modelos de lançamento do Amazon EC2

[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso

[Backup.2] Os pontos de recuperação do AWS Backup devem ser marcados

[Backup.3] Os cofres do AWS Backup devem ser marcados

[Backup.4] Os planos de relatórios do AWS Backup devem ser marcados

[Backup.5] Os planos de backup do AWS Backup devem ser marcados

[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags

[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags

[Batch.3] Ambientes de computação do Batch devem ser marcados com tags

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags

[CloudFormation.2] As pilhas do CloudFormation devem ser marcadas

[CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado

[CloudFront.3] As distribuições do CloudFront devem exigir criptografia em trânsito

[CloudFront.4] As distribuições do CloudFront devem ter o failover de origem configurado

[CloudFront.5] As distribuições do CloudFront devem ter o registro de log ativado

[CloudFront.6] As distribuições do CloudFront devem ter a WAF ativada

[CloudFront.7] As distribuições do CloudFront devem usar certificados SSL/TLS personalizados

[CloudFront.8] As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas

[CloudFront.10] As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] As distribuições do CloudFront não devem apontar para origens inexistentes do S3

[CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem