Limites regionais nos controles CSPM do Security Hub

[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso

[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado

[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[Amplify.1] Os aplicativos Amplify devem ser marcados

[Amplify.2] As ramificações do Amplify devem ser marcadas

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC24] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0/0 ou: :/0 na porta 3389

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[EC2.177] sessões de espelhos EC2 de tráfego devem ser marcadas

[EC2.179] alvos de espelhos EC2 de tráfego devem ser marcados

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ELB.2] Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[RDS.1] Os instantâneos do RDS devem ser privados

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público

[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch

[RedshiftServerless.7] Os namespaces do Redshift sem servidor não devem usar o nome do banco de dados padrão

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway

[Amplify.1] Os aplicativos Amplify devem ser marcados

[Amplify.2] As ramificações do Amplify devem ser marcadas

[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados

[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados

[AppConfig.3] AWS AppConfig ambientes devem ser marcados

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CloudTrail.6] Verifique se o bucket do S3 usado para armazenar CloudTrail registros não é acessível publicamente

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do CloudTrail S3

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0/0 ou: :/0 na porta 3389

[EC2.22] Os grupos de EC2 segurança da Amazon não utilizados devem ser removidos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.34] As tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.40] Os gateways EC2 NAT devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.51] Os endpoints da EC2 Client VPN devem ter o registro em log de conexão do cliente habilitado

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

Os modelos de EC2 inicialização devem usar o Instance Metadata Service versão 2 () EC2 IMDSv2

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[EC2.175] modelos de EC2 lançamento devem ser marcados

[EC2.177] sessões de espelhos EC2 de tráfego devem ser marcadas

[EC2.179] alvos de espelhos EC2 de tráfego devem ser marcados

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.17] Os balanceadores de carga de aplicativos e redes com ouvintes devem usar as políticas de segurança recomendadas

[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados

[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado

[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público

[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch

[RedshiftServerless.7] Os namespaces do Redshift sem servidor não devem usar o nome do banco de dados padrão

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SageMaker.5] SageMaker os modelos devem bloquear o tráfego de entrada

[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas

[SageMaker.7] SageMaker as imagens devem ser marcadas

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

[Transfer.3] Os conectores Transfer Family devem ter o registro ativado

[Transfer.4] Os contratos da Transfer Family devem ser marcados

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] A AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] O registro em log de ACL AWS WAF da web deve estar ativado

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway

[Amplify.1] Os aplicativos Amplify devem ser marcados

[Amplify.2] As ramificações do Amplify devem ser marcadas

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0/0 ou: :/0 na porta 3389

[EC2.22] Os grupos de EC2 segurança da Amazon não utilizados devem ser removidos

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.51] Os endpoints da EC2 Client VPN devem ter o registro em log de conexão do cliente habilitado

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[EC2.177] sessões de espelhos EC2 de tráfego devem ser marcadas

[EC2.179] alvos de espelhos EC2 de tráfego devem ser marcados

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

[ELB.17] Os balanceadores de carga de aplicativos e redes com ouvintes devem usar as políticas de segurança recomendadas

[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados

[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado

[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] A AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway

[Amplify.1] Os aplicativos Amplify devem ser marcados

[Amplify.2] As ramificações do Amplify devem ser marcadas

[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados

[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados

[AppConfig.3] AWS AppConfig ambientes devem ser marcados

[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado

[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2

[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[Batch.1] As filas de trabalhos em lote devem ser marcadas

[Batch.2] As políticas de agendamento em lote devem ser marcadas

[Batch.3] Ambientes de computação em lote devem ser marcados

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados em lote devem ser marcadas

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CloudTrail.6] Verifique se o bucket do S3 usado para armazenar CloudTrail registros não é acessível publicamente

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do CloudTrail S3

[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys

[CloudWatch.17] as ações CloudWatch de alarme devem ser ativadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[DataSync.1] DataSync as tarefas devem ter o registro ativado

[DataSync.2] DataSync as tarefas devem ser marcadas

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC24] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[EC2.22] Os grupos de EC2 segurança da Amazon não utilizados devem ser removidos

[EC2.23] Os Amazon EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

[EC2.34] As tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.40] Os gateways EC2 NAT devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.51] Os endpoints da EC2 Client VPN devem ter o registro em log de conexão do cliente habilitado

[EC2.52] Os gateways EC2 de trânsito devem ser marcados

[EC2.53] os grupos EC2 de segurança não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] os grupos EC2 de segurança não devem permitir a entrada de: :0 nas portas de administração de servidor remoto

[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR

[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry

[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

Os modelos de EC2 inicialização devem usar o Instance Metadata Service versão 2 () EC2 IMDSv2

[EC2.171] As conexões de EC2 VPN devem ter o registro em log habilitado

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[EC2.174] Os conjuntos de opções EC2 DHCP devem ser marcados

[EC2.175] modelos de EC2 lançamento devem ser marcados

[EC2.176] as listas de EC2 prefixos devem ser marcadas

[EC2.177] sessões de espelhos EC2 de tráfego devem ser marcadas

[EC2.178] filtros de espelhos EC2 de trânsito devem ser marcados

[EC2.179] alvos de espelhos EC2 de tráfego devem ser marcados

[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada

[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys

[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host

[ECS.4] Os contêineres ECS devem ser executados sem privilégios

[ECS.5] Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log

[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.12] Os clusters do ECS devem usar Container Insights

[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos

[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz

[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário

[EFS.5] Os pontos de acesso do EFS devem ser marcados

[EFS.6] Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública

[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados

[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes

[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes

[EKS.6] Os clusters do EKS devem ser marcados

[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas

[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado

[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade

[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.17] Os balanceadores de carga de aplicativos e redes com ouvintes devem usar as políticas de segurança recomendadas

[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados

[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado

[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso

[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado

[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[ES.9] Os domínios do Elasticsearch devem ser marcados

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes

[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups

[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ

[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ

[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.5] O Monitoramento de GuardDuty Logs de Auditoria do EKS deve estar habilitado

[GuardDuty.6] A Proteção do GuardDuty Lambda deve estar habilitada

[GuardDuty.7] O Monitoramento de Runtime do GuardDuty EKS deve estar habilitado

[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado

[GuardDuty.9] A proteção do GuardDuty RDS deve estar habilitada

[GuardDuty.10] A proteção do GuardDuty S3 deve estar habilitada

[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado

[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado

[GuardDuty.13] O monitoramento GuardDuty EC2 de tempo de execução deve estar ativado

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] A MFA deve estar habilitada para o usuário raiz

[IAM.7] Políticas de senha para usuários do IAM que devem ter configurações fortes

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[Kinesis.2] Os fluxos do Kinesis devem ser marcados

[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[KMS.5] As chaves do KMS não devem estar acessíveis ao público

[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente

[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos.

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes fragmentados.

[NetworkFirewall.6] O grupo de regras do Firewall de Rede sem estado não deve estar vazio

[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada

[NetworkFirewall.10] Os firewalls do Network Firewall devem ter a proteção contra alterações de sub-rede ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada

[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC

[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch

[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch

[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito

[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito

[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch

[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito

[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch

[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito

[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado

[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado

[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão

[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.11] Os clusters do Redshift devem ser marcados

[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas

[Redshift.16] Os grupos de sub-redes do cluster do Redshift devem ter sub-redes de várias zonas de disponibilidade

[Redshift.17] Os grupos de parâmetros do cluster do Redshift devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público

[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch

[RedshiftServerless.7] Os namespaces do Redshift sem servidor não devem usar o nome do banco de dados padrão

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1

[SageMaker.5] SageMaker os modelos devem bloquear o tráfego de entrada

[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas

[SageMaker.7] SageMaker as imagens devem ser marcadas

[SageMaker.8] instâncias de SageMaker notebook devem ser executadas em plataformas compatíveis

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS

[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.4] Os documentos SSM não devem ser públicos

[SSM.5] Os documentos SSM devem ser marcados

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints

[Transfer.3] Os conectores Transfer Family devem ter o registro ativado

[Transfer.4] Os contratos da Transfer Family devem ser marcados

[Transfer.5] Os certificados Transfer Family devem ser marcados

[Transfer.6] Os conectores Transfer Family devem ser marcados

[Transfer.7] Os perfis do Transfer Family devem ser marcados

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.2] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.4] A web do AWS WAF Classic Regional ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] A AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.12] AWS WAF As regras do devem ter as métricas habilitadas CloudWatch

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway

[Amplify.1] Os aplicativos Amplify devem ser marcados

[Amplify.2] As ramificações do Amplify devem ser marcadas

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Batch.1] As filas de trabalhos em lote devem ser marcadas

[Batch.3] Ambientes de computação em lote devem ser marcados

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados em lote devem ser marcadas

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente

[EC24] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0/0 ou: :/0 na porta 3389

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

[EC2.22] Os grupos de EC2 segurança da Amazon não utilizados devem ser removidos

[EC2.23] Os Amazon EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.34] As tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.40] Os gateways EC2 NAT devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

Os modelos de EC2 inicialização devem usar o Instance Metadata Service versão 2 () EC2 IMDSv2

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[EC2.175] modelos de EC2 lançamento devem ser marcados

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.17] Os balanceadores de carga de aplicativos e redes com ouvintes devem usar as políticas de segurança recomendadas

[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados

[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado

[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso

[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado

[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes

[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.7] Políticas de senha para usuários do IAM que devem ter configurações fortes

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[RDS.1] Os instantâneos do RDS devem ser privados

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público

[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch

[RedshiftServerless.7] Os namespaces do Redshift sem servidor não devem usar o nome do banco de dados padrão

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SageMaker.5] SageMaker os modelos devem bloquear o tráfego de entrada

[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas

[SageMaker.7] SageMaker as imagens devem ser marcadas

[SageMaker.8] instâncias de SageMaker notebook devem ser executadas em plataformas compatíveis

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.4] Os documentos SSM não devem ser públicos

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[Transfer.3] Os conectores Transfer Family devem ter o registro ativado

[Transfer.4] Os contratos da Transfer Family devem ser marcados

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] O registro em log de ACL AWS WAF da web deve estar ativado

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC24] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0/0 ou: :/0 na porta 3389

[EC2.20] Ambos os túneis VPN para uma conexão AWS Site-to-Site VPN devem estar ativos

[EC2.22] Os grupos de EC2 segurança da Amazon não utilizados devem ser removidos

[EC2.23] Os Amazon EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR

[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry

[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS

[ELB.2] Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS

[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos

[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada

[ELB.8] Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração forte AWS Config

[ELB.16] Os Application Load Balancers devem ser associados a um web ACL AWS WAF

[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados

[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público

[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch

[RedshiftServerless.7] Os namespaces do Redshift sem servidor não devem usar o nome do banco de dados padrão

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[PCI.SSM.1] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] A AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] O registro em log de ACL AWS WAF da web deve estar ativado

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[ACM.3] Os certificados do ACM devem ser marcados

[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.1] O registro de execução do API de Gateway, WebSocket REST e execução de API deve estar ativado

[APIGateway.5] Os dados do cache da API REST de Gateway devem ser criptografados em repouso

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway

[Amplify.1] Os aplicativos Amplify devem ser marcados

[Amplify.2] As ramificações do Amplify devem ser marcadas

[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados

[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados

[AppConfig.3] AWS AppConfig ambientes devem ser marcados

[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[Athena.2] Os catálogos de dados do Athena devem ser marcados

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado

[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2

[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2

[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.2] os pontos de AWS Backup recuperação devem ser marcados

[Backup.3] os AWS Backup cofres devem ser marcados

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Backup.5] os planos de AWS Backup backup devem ser marcados

[Batch.1] As filas de trabalhos em lote devem ser marcadas

[Batch.2] As políticas de agendamento em lote devem ser marcadas

[Batch.3] Ambientes de computação em lote devem ser marcados

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados em lote devem ser marcadas

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CloudTrail.6] Verifique se o bucket do S3 usado para armazenar CloudTrail registros não é acessível publicamente

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do CloudTrail S3

[CloudTrail.9] CloudTrail trilhas devem ser marcadas

[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys

[CloudWatch.17] as ações CloudWatch de alarme devem ser ativadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[DataSync.1] DataSync as tarefas devem ter o registro ativado

[DataSync.2] DataSync as tarefas devem ser marcadas

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoB.5] As tabelas do DynamoDB devem ser marcadas

[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC24] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[EC2.22] Os grupos de EC2 segurança da Amazon não utilizados devem ser removidos

[EC2.23] Os Amazon EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

[EC2.34] As tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.35] As interfaces EC2 de rede devem ser marcadas

[EC2.36] os gateways EC2 do cliente devem ser marcados

[EC2.37] Os endereços IP EC2 elásticos devem ser marcados

[EC2.38] as EC2 instâncias devem ser marcadas

[EC2.39] gateways EC2 da internet devem ser marcados

[EC2.40] Os gateways EC2 NAT devem ser marcados

[EC2.41] a EC2 rede ACLs deve ser marcada

[EC2.42] As tabelas de EC2 rotas devem ser marcadas

[EC2.43] grupos EC2 de segurança devem ser marcados

[EC2.44] EC2 sub-redes devem ser marcadas

[EC2.45] EC2 volumes devem ser marcados

[EC2.46] Amazon VPCs deve ser etiquetada

[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas

[EC2.50] Os gateways da EC2 VPN devem ser marcados

[EC2.51] Os endpoints da EC2 Client VPN devem ter o registro em log de conexão do cliente habilitado

[EC2.52] Os gateways EC2 de trânsito devem ser marcados

[EC2.53] os grupos EC2 de segurança não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] os grupos EC2 de segurança não devem permitir a entrada de: :0 nas portas de administração de servidor remoto

[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR

[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry

[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

Os modelos de EC2 inicialização devem usar o Instance Metadata Service versão 2 () EC2 IMDSv2

[EC2.171] As conexões de EC2 VPN devem ter o registro em log habilitado

[EC2.172] As configurações do EC2 VPC Block Public Access devem bloquear o tráfego do gateway da Internet

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[EC2.174] Os conjuntos de opções EC2 DHCP devem ser marcados

[EC2.175] modelos de EC2 lançamento devem ser marcados

[EC2.176] as listas de EC2 prefixos devem ser marcadas

[EC2.177] sessões de espelhos EC2 de tráfego devem ser marcadas

[EC2.178] filtros de espelhos EC2 de trânsito devem ser marcados

[EC2.179] alvos de espelhos EC2 de tráfego devem ser marcados

[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada

[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys

[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente

[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host

[ECS.4] Os contêineres ECS devem ser executados sem privilégios

[ECS.5] Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log

[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.12] Os clusters do ECS devem usar Container Insights

[ECS.13] Os serviços do ECS devem ser marcados

[ECS.14] Os clusters do ECS devem ser marcados

[ECS.15] As definições de tarefas do ECS devem ser marcadas

[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos

[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz

[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário

[EFS.5] Os pontos de acesso do EFS devem ser marcados

[EFS.6] Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública

[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados

[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes

[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes

[EKS.6] Os clusters do EKS devem ser marcados

[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas

[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado

[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada

[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade

[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.17] Os balanceadores de carga de aplicativos e redes com ouvintes devem usar as políticas de segurança recomendadas

[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados

[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado

[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso

[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado

[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado

[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados

[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados

[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente

[ES.9] Os domínios do Elasticsearch devem ser marcados

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes

[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups

[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ

[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ

[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

Os AWS Glue trabalhos [Glue.1] devem ser marcados

[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue

[GuardDuty.1] GuardDuty deve ser ativado

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.5] O Monitoramento de GuardDuty Logs de Auditoria do EKS deve estar habilitado

[GuardDuty.6] A Proteção do GuardDuty Lambda deve estar habilitada

[GuardDuty.7] O Monitoramento de Runtime do GuardDuty EKS deve estar habilitado

[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado

[GuardDuty.9] A proteção do GuardDuty RDS deve estar habilitada

[GuardDuty.10] A proteção do GuardDuty S3 deve estar habilitada

[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado

[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado

[GuardDuty.13] O monitoramento GuardDuty EC2 de tempo de execução deve estar ativado

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] A MFA deve estar habilitada para o usuário raiz

[IAM.7] Políticas de senha para usuários do IAM que devem ter configurações fortes

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[Kinesis.2] Os fluxos do Kinesis devem ser marcados

[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[KMS.3] não AWS KMS keys deve ser excluído acidentalmente

[KMS.5] As chaves do KMS não devem estar acessíveis ao público

[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade

[Lambda.6] As funções do Lambda devem ser marcadas

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente

[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos.

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes fragmentados.

[NetworkFirewall.6] O grupo de regras do Firewall de Rede sem estado não deve estar vazio

[NetworkFirewall.7] Os firewalls do Network Firewall devem ser marcados

[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas

[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada

[NetworkFirewall.10] Os firewalls do Network Firewall devem ter a proteção contra alterações de sub-rede ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada

[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.16] Os clusters de banco de dados do RDS devem ser configurados para copiar tags para instantâneos

[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos

[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC

[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster

[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados

[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados

[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados

[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados

[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados

[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados

[RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.32] Os snapshots de banco de dados do RDS devem ser marcados

[RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados

[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch

[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch

[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito

[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito

[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch

[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito

[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch

[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito

[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado

[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado

[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão

[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.11] Os clusters do Redshift devem ser marcados

[Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas

[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados

[Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas

[Redshift.16] Os grupos de sub-redes do cluster do Redshift devem ter sub-redes de várias zonas de disponibilidade

[Redshift.17] Os grupos de parâmetros do cluster do Redshift devem ser marcados

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público

[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch

[RedshiftServerless.7] Os namespaces do Redshift sem servidor não devem usar o nome do banco de dados padrão

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1

[SageMaker.5] SageMaker os modelos devem bloquear o tráfego de entrada

[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas

[SageMaker.7] SageMaker as imagens devem ser marcadas

[SageMaker.8] instâncias de SageMaker notebook devem ser executadas em plataformas compatíveis

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS

[SNS.3] Os tópicos do SNS devem ser marcados

[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.4] Os documentos SSM não devem ser públicos

[SSM.5] Os documentos SSM devem ser marcados

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[StepFunctions.2] As atividades do Step Functions devem ser marcadas

Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados

[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints

[Transfer.3] Os conectores Transfer Family devem ter o registro ativado

[Transfer.4] Os contratos da Transfer Family devem ser marcados

[Transfer.5] Os certificados Transfer Family devem ser marcados

[Transfer.6] Os conectores Transfer Family devem ser marcados

[Transfer.7] Os perfis do Transfer Family devem ser marcados

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.2] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.4] A web do AWS WAF Classic Regional ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] A AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] O registro em log de ACL AWS WAF da web deve estar ativado

[WAF.12] AWS WAF As regras do devem ter as métricas habilitadas CloudWatch

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway

[Amplify.1] Os aplicativos Amplify devem ser marcados

[Amplify.2] As ramificações do Amplify devem ser marcadas

[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados

[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados

[AppConfig.3] AWS AppConfig ambientes devem ser marcados

[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado

[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2

[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Batch.1] As filas de trabalhos em lote devem ser marcadas

[Batch.3] Ambientes de computação em lote devem ser marcados

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados em lote devem ser marcadas

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.12] CloudFront As distribuições não devem apontar para origens inexistentes do S3

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CloudTrail.6] Verifique se o bucket do S3 usado para armazenar CloudTrail registros não é acessível publicamente

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do CloudTrail S3

[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys

[CloudWatch.17] as ações CloudWatch de alarme devem ser ativadas

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais

[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[DataSync.1] DataSync as tarefas devem ter o registro ativado

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.2] Os certificados do DMS devem ser marcados

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

[DMS.9] Os endpoints do DMS devem usar SSL

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC24] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[EC2.22] Os grupos de EC2 segurança da Amazon não utilizados devem ser removidos

[EC2.23] Os Amazon EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

[EC2.34] As tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.40] Os gateways EC2 NAT devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.51] Os endpoints da EC2 Client VPN devem ter o registro em log de conexão do cliente habilitado

[EC2.53] os grupos EC2 de segurança não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] os grupos EC2 de segurança não devem permitir a entrada de: :0 nas portas de administração de servidor remoto

[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR

[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry

[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

Os modelos de EC2 inicialização devem usar o Instance Metadata Service versão 2 () EC2 IMDSv2

[EC2.171] As conexões de EC2 VPN devem ter o registro em log habilitado

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[EC2.175] modelos de EC2 lançamento devem ser marcados

[EC2.177] sessões de espelhos EC2 de tráfego devem ser marcadas

[EC2.179] alvos de espelhos EC2 de tráfego devem ser marcados

[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada

[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys

[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host

[ECS.4] Os contêineres ECS devem ser executados sem privilégios

[ECS.5] Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz

[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log

[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

[ECS.12] Os clusters do ECS devem usar Container Insights

[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos

[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz

[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário

[EFS.6] Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública

[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados

[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes

[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes

[EKS.6] Os clusters do EKS devem ser marcados

[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas

[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado

[ELB.2] Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade

[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade

O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

[ELB.17] Os balanceadores de carga de aplicativos e redes com ouvintes devem usar as políticas de segurança recomendadas

[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados

[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas

[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado

[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso

[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito

[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado

[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão

[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes

[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups

[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ

[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ

[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso

[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue

[GuardDuty.2] GuardDuty os filtros devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.5] O Monitoramento de GuardDuty Logs de Auditoria do EKS deve estar habilitado

[GuardDuty.6] A Proteção do GuardDuty Lambda deve estar habilitada

[GuardDuty.7] O Monitoramento de Runtime do GuardDuty EKS deve estar habilitado

[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado

[GuardDuty.9] A proteção do GuardDuty RDS deve estar habilitada

[GuardDuty.10] A proteção do GuardDuty S3 deve estar habilitada

[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado

[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado

[GuardDuty.13] O monitoramento GuardDuty EC2 de tempo de execução deve estar ativado

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] A MFA deve estar habilitada para o usuário raiz

[IAM.7] Políticas de senha para usuários do IAM que devem ter configurações fortes

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados

[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

[IoT.3] as AWS IoT Core dimensões devem ser marcadas

[IoT.4] os AWS IoT Core autorizadores devem ser marcados

[IoT.5] aliases de AWS IoT Core função devem ser marcados

As AWS IoT Core políticas [IoT.6] devem ser marcadas

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

[Kinesis.2] Os fluxos do Kinesis devem ser marcados

[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado

[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

[KMS.5] As chaves do KMS não devem estar acessíveis ao público

[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente

[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos.

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes fragmentados.

[NetworkFirewall.6] O grupo de regras do Firewall de Rede sem estado não deve estar vazio

[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada

[NetworkFirewall.10] Os firewalls do Network Firewall devem ter a proteção contra alterações de sub-rede ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC

[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados

[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch

[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch

[RDS.38] O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito

[RDS.39] O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito

[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch

[RDS.41] O RDS para instâncias de banco de dados SQL Server deve ser criptografado em trânsito

[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch

[RDS.44] O RDS para instâncias de banco de dados MariaDB deve ser criptografado em trânsito

[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados

[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado

[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão

[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão

[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas

[Redshift.16] Os grupos de sub-redes do cluster do Redshift devem ter sub-redes de várias zonas de disponibilidade

[RedshiftServerless.1] Os grupos de trabalho do Amazon Redshift sem servidor deverão usar o roteamento aprimorado da VPC

[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL

[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público

[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys

[RedshiftServerless.5] Os namespaces do Redshift sem servidor não devem usar o nome de usuário do administrador padrão

[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch

[RedshiftServerless.7] Os namespaces do Redshift sem servidor não devem usar o nome do banco de dados padrão

[Route53.1] As verificações de integridade do Route 53 devem ser marcadas

[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada

[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1

[SageMaker.5] SageMaker os modelos devem bloquear o tráfego de entrada

[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas

[SageMaker.7] SageMaker as imagens devem ser marcadas

[SageMaker.8] instâncias de SageMaker notebook devem ser executadas em plataformas compatíveis

[SES.1] As listas de contatos do SES devem ser marcadas

[SES.2] Os conjuntos de configuração do SES devem ser marcados

[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS

[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público

[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

[SQS.2] As filas do SQS devem ser marcadas

[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público

[PCI.SSM.1] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch

[PCI.SSM.3] EC2 As instâncias da Amazon gerenciadas pelo devem ter um status de conformidade de associação de COMPATÍVEL

[SSM.4] Os documentos SSM não devem ser públicos

[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado

[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints

[Transfer.3] Os conectores Transfer Family devem ter o registro ativado

[Transfer.4] Os contratos da Transfer Family devem ser marcados

[WAF.1] O registro em log AWS WAF Classic Global Web ACL deve estar ativado

[WAF.2] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra

[WAF.4] A web do AWS WAF Classic Regional ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição

[WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra

[WAF.8] A web AWS WAF Classic global ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.10] A AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

[WAF.11] O registro em log de ACL AWS WAF da web deve estar ativado

[WAF.12] AWS WAF As regras do devem ter as métricas habilitadas CloudWatch

[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso

[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso

[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

[APIGateway.2] Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end

[Amplify.1] Os aplicativos Amplify devem ser marcados

[Amplify.2] As ramificações do Amplify devem ser marcadas

[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados

[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados

[AppConfig.3] AWS AppConfig ambientes devem ser marcados

[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas

[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados

[AppRunner.1] Os serviços do App Runner devem ser marcados

[AppRunner.2] Os conectores VPC do App Runner devem ser marcados

[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso

[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito

[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados

[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso

[Backup.4] os planos de AWS Backup relatórios devem ser marcados

[Batch.1] As filas de trabalhos em lote devem ser marcadas

[Batch.2] As políticas de agendamento em lote devem ser marcadas

[Batch.3] Ambientes de computação em lote devem ser marcados

[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados em lote devem ser marcadas

[CloudFront.1] CloudFront As distribuições devem ter um objeto raiz padrão configurado

[CloudFront.3] CloudFront As distribuições devem exigir criptografia em trânsito

[CloudFront.4] CloudFront As distribuições devem ter o failover de origem configurado

[CloudFront.5] CloudFront As distribuições devem ter o registro de log ativado

[CloudFront.6] as CloudFront distribuições devem ter a WAF ativada

[CloudFront.7] CloudFront As distribuições devem usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS

[CloudFront.9] CloudFront As distribuições devem criptografar o tráfego para origens personalizadas

[CloudFront.10] CloudFront As distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas

[CloudFront.13] CloudFront As distribuições devem usar o controle de acesso de origem

[CloudFront.14] CloudFront As distribuições devem ser marcadas

[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys

[CodeArtifact.1] CodeArtifact repositórios devem ser marcados

[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados

[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas

[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão

[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados

[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado

[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso

[DataSync.2] DataSync as tarefas devem ser marcadas

[Detective.1] Os gráficos de comportamento do Detective devem ser marcados

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch

[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup

[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

[EC2.20] Ambos os túneis VPN para uma conexão AWS Site-to-Site VPN devem estar ativos

[EC2.22] Os grupos de EC2 segurança da Amazon não utilizados devem ser removidos

[EC2.23] Os Amazon EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

[EC2.34] As tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

[EC2.35] As interfaces EC2 de rede devem ser marcadas

[EC2.36] os gateways EC2 do cliente devem ser marcados

[EC2.40] Os gateways EC2 NAT devem ser marcados

[EC2.41] a EC2 rede ACLs deve ser marcada

[EC2.42] As tabelas de EC2 rotas devem ser marcadas

[EC2.43] grupos EC2 de segurança devem ser marcados

[EC2.44] EC2 sub-redes devem ser marcadas

[EC2.46] Amazon VPCs deve ser etiquetada

[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados

[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados

[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas

[EC2.51] Os endpoints da EC2 Client VPN devem ter o registro em log de conexão do cliente habilitado

[EC2.53] os grupos EC2 de segurança não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] os grupos EC2 de segurança não devem permitir a entrada de: :0 nas portas de administração de servidor remoto

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

[EC2.171] As conexões de EC2 VPN devem ter o registro em log habilitado

[EC2.173] As solicitações do EC2 Spot Fleet devem habilitar a criptografia para volumes anexados do EBS

[EC2.174] Os conjuntos de opções EC2 DHCP devem ser marcados

[EC2.175] modelos de EC2 lançamento devem ser marcados

[EC2.176] as listas de EC2 prefixos devem ser marcadas

[EC2.177] sessões de espelhos EC2 de tráfego devem ser marcadas

[EC2.178] filtros de espelhos EC2 de trânsito devem ser marcados

[EC2.179] alvos de espelhos EC2 de tráfego devem ser marcados

[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

[ECR.4] Os repositórios públicos do ECR devem ser marcados

[ECS.13] Os serviços do ECS devem ser marcados

[ECS.15] As definições de tarefas do ECS devem ser marcadas

[EFS.6] Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública

[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes

[EKS.6] Os clusters do EKS devem ser marcados

[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas

[ELB.2] Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

[ELB.16] Os Application Load Balancers devem ser associados a um web ACL AWS WAF

[ELB.17] Os balanceadores de carga de aplicativos e redes com ouvintes devem usar as políticas de segurança recomendadas

[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados

[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados

[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados

[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados

[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas

[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes

[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups

[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ

[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

[GuardDuty.3] GuardDuty IPSets deve ser marcado

[GuardDuty.4] os GuardDuty detectores devem ser marcados

[GuardDuty.5] O Monitoramento de GuardDuty Logs de Auditoria do EKS deve estar habilitado

[GuardDuty.6] A Proteção do GuardDuty Lambda deve estar habilitada

[GuardDuty.7] O Monitoramento de Runtime do GuardDuty EKS deve estar habilitado

[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado

[GuardDuty.9] A proteção do GuardDuty RDS deve estar habilitada

[GuardDuty.10] A proteção do GuardDuty S3 deve estar habilitada

[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado

[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado

[GuardDuty.13] O monitoramento GuardDuty EC2 de tempo de execução deve estar ativado

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.9] A MFA deve estar habilitada para o usuário raiz

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

[IAM.24] Os perfis do IAM devem ser marcados

[IAM.25] Os usuários do IAM devem ser marcados

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas

[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados

[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados

[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados

[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados

[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados

[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados

[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas

[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas

[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados

[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados

[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas

[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados

[IVS.2] As configurações de gravação IVS devem ser marcadas

[IVS.3] Os canais IVS devem ser marcados

[Keyspaces.1] Os espaços chave do Amazon Keyspaces devem ser marcados

[Macie.1] O Amazon Macie deve estar habilitado

[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

[MQ.4] Os agentes do Amazon MQ devem ser marcados

[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito

[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos

[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade

[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado

[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos.

[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes fragmentados.

[NetworkFirewall.6] O grupo de regras do Firewall de Rede sem estado não deve estar vazio

[NetworkFirewall.7] Os firewalls do Network Firewall devem ser marcados

[NetworkFirewall.9] Os firewalls do Network Firewall devem ter a proteção contra exclusão ativada

[NetworkFirewall.10] Os firewalls do Network Firewall devem ter a proteção contra alterações de sub-rede ativada

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados