As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Noções básicas dos padrões de segurança no CSPM do Security Hub
<a name="standards-view-manage"></a>

No AWS Security Hub CSPM, um *padrão de segurança* é um conjunto de requisitos baseado em estruturas regulatórias, melhores práticas do setor ou políticas da empresa. Para obter detalhes sobre os padrões aos quais o CSPM do Security Hub oferece suporte no momento, incluindo os controles de segurança que se aplicam a cada um, consulte a [Referência de padrões para o CSPM do Security Hub](standards-reference.md).

Quando você habilita um padrão, o CSPM do Security Hub habilita automaticamente todos os controles que se aplicam ao padrão. Em seguida, o CSPM do Security Hub executa verificações de segurança nos controles, o que gera as descobertas do CSPM do Security Hub. É possível desabilitar e posteriormente reabilitar os controles individuais conforme necessário. Também é possível desabilitar um padrão completamente. Se você desabilitar um padrão, o CSPM do Security Hub parará de executar verificações de segurança nos controles que se aplicam a esse padrão. Não são mais geradas descobertas para os controles.

Além das descobertas, o CSPM do Security Hub gera uma pontuação de segurança para cada padrão habilitado. A pontuação é baseada no status dos controles que se aplicam ao padrão. Se você definiu uma região de agregação, suas pontuações de segurança refletirão o status dos controles em todas as regiões vinculadas. Se você for o administrador do CSPM do Security Hub de uma organização, a pontuação refletirá o status dos controles de todas as contas da sua organização. Para obter mais informações, consulte [Calcular pontuações de segurança](standards-security-score.md).

Para revisar e gerenciar padrões, é possível usar o console ou a API do CSPM do Security Hub. No console, a página **padrões de segurança** lista todos os padrões de segurança atualmente com suporte no CSPM do Security Hub. Isso inclui uma descrição de cada padrão e o status atual do padrão. Se você habilitar um padrão, também poderá usar essa página para acessar detalhes adicionais do padrão. Por exemplo, é possível analisar:
+ A pontuação de segurança atual do padrão.
+ Estatísticas agregadas para controles que se aplicam ao padrão.
+ Uma lista de controles que se aplicam ao padrão e estão atualmente habilitados, incluindo o status de conformidade de cada um.
+ Uma lista de controles que se aplicam ao padrão, mas que estão desabilitados no momento.

Para uma análise mais profunda, é possível filtrar e classificar os dados e detalhar para analisar os detalhes dos controles individuais que se aplicam ao padrão.

Você pode habilitar padrões individualmente para uma única conta Região da AWS e. Porém, para poupar tempo e reduzir desvios de configuração em ambientes com várias contas ou várias regiões, recomendamos o uso da [configuração central](central-configuration-intro.md) para habilitar e gerenciar os padrões. Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas que especificam como configurar um padrão em várias contas e regiões.

**Topics**
+ [Referência de padrões](standards-reference.md)
+ [Habilitar um padrão](enable-standards.md)
+ [Análise dos detalhes de um padrão](securityhub-standards-view-controls.md)
+ [Desativar padrões habilitados automaticamente](securityhub-auto-enabled-standards.md)
+ [Desabilitar um padrão](disable-standards.md)

# Referência de padrões para o CSPM do Security Hub
<a name="standards-reference"></a>

No AWS Security Hub CSPM, um *padrão de segurança* é um conjunto de requisitos baseado em estruturas regulatórias, melhores práticas do setor ou políticas da empresa. O CSPM do Security Hub mapeia esses requisitos para controles e executa verificações de segurança nos controles para avaliar se os requisitos de um padrão estão sendo atendidos. Cada padrão inclui vários controles.

Atualmente, o CSPM do Security Hub oferece suporte aos padrões a seguir:
+ **AWS Melhores práticas básicas de segurança** — Desenvolvido por profissionais do setor AWS e por profissionais do setor, esse padrão é uma compilação das melhores práticas de segurança para organizações, independentemente do setor ou tamanho. Ele fornece um conjunto de controles que detectam quando seus recursos Contas da AWS e recursos se desviam das melhores práticas de segurança. Ele também fornece orientações prescritivas sobre como aprimorar e manter sua postura de segurança.
+ **AWS Marcação de recursos** — Desenvolvido pelo Security Hub CSPM, esse padrão pode ajudá-lo a determinar se seus AWS recursos têm tags. Uma *tag* é um par de valores-chave que atua como metadados para um recurso. AWS As tags podem ajudar você a identificar, categorizar, gerenciar e pesquisar AWS recursos. Por exemplo, é possível usar as tags para categorizar recursos por finalidade, proprietário ou ambiente.
+ **CIS AWS Foundations Benchmark** — Desenvolvido pelo Center for Internet Security (CIS), esse padrão fornece diretrizes de configuração segura para. AWS Ele especifica um conjunto de diretrizes de configuração de segurança e melhores práticas para um subconjunto de Serviços da AWS recursos, com ênfase em configurações básicas, testáveis e independentes de arquitetura. As diretrizes incluem procedimentos claros de step-by-step implementação e avaliação.
+ **NIST SP 800-53 Revisão 5**: este padrão está alinhado aos requisitos do National Institute of Standards and Technology (NIST) para proteger a confidencialidade, integridade e disponibilidade dos sistemas de informação e recursos críticos. A estrutura associada geralmente se aplica a agências ou organizações federais dos EUA que trabalham com agências federais ou sistemas de informação dos EUA. No entanto, as organizações privadas também podem usar os requisitos como uma estrutura orientadora.
+ **NIST SP 800-171 Revisão 2**: esse padrão se alinha com as recomendações e requisitos de segurança do NIST para proteger a confidencialidade de informações não classificadas controladas (CUI) em sistemas e organizações que não fazem parte do governo federal dos EUA. *CUI* são informações que não atendem aos critérios governamentais de classificação, mas são consideradas sensíveis e são criadas ou possuídas pelo governo federal dos EUA ou por outras entidades em nome do governo federal dos EUA.
+ **PCI DSS**: este padrão está alinhado à estrutura de conformidade do Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) definido pelo PCI Security Standards Council (SSC). A estrutura fornece um conjunto de regras e diretrizes para lidar com segurança com as informações de cartões de crédito e débito. A estrutura geralmente se aplica a organizações que armazenem, processem ou transmitam dados do titular do cartão.
+ **Padrão gerenciado por serviços, AWS Control Tower— Esse padrão** ajuda você a configurar os controles de detetive fornecidos pelo Security Hub CSPM a partir de. AWS Control Tower AWS Control Tower oferece uma maneira simples de configurar e administrar um ambiente com AWS várias contas, seguindo as melhores práticas prescritivas.

Os padrões e controles do CSPM do Security Hub não garantem a conformidade com nenhuma estrutura ou auditoria regulatória. Em vez disso, eles fornecem uma maneira de avaliar e monitorar o estado das suas Contas da AWS e seus recursos. Recomendamos habilitar cada padrão relevante para as necessidades da sua empresa, setor ou caso de uso.

Os controles individuais podem ser aplicados a mais de um padrão. Se você habilitar vários padrões, recomendamos que você também habilite as descobertas de controle consolidadas. Se você fizer isso, o CSPM do Security Hub gerará uma única descoberta para cada controle, mesmo que o controle se aplique a mais de um padrão. Se você não habilitar as descobertas de controles consolidadas, o CSPM do Security Hub gerará uma descoberta separada para cada padrão habilitado ao qual um controle se aplicar. Por exemplo, se você habilitar dois padrões e um controle se aplicar a ambos, você receberá duas descobertas separadas para o controle, uma para cada padrão. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta para o controle. Para obter mais informações, consulte [Descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Melhores práticas básicas de segurança](fsbp-standard.md)
+ [AWS Marcação de recursos](standards-tagging.md)
+ [Referência do CIS AWS Foundations](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Revisão 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revisão 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Padrões gerenciados por serviços](service-managed-standards.md)

# AWS Padrão básico de melhores práticas de segurança no Security Hub CSPM
<a name="fsbp-standard"></a>

Desenvolvido por profissionais do setor AWS e por profissionais do setor, o padrão AWS Foundational Security Best Practices (FSBP) é uma compilação das melhores práticas de segurança para organizações, independentemente do setor ou tamanho da organização. Ele fornece um conjunto de controles que detectam quando Contas da AWS e os recursos se desviam das melhores práticas de segurança. Ele também fornece orientações prescritivas sobre como aprimorar e manter a postura de segurança da sua organização.

No AWS Security Hub CSPM, o padrão AWS Foundational Security Best Practices inclui controles que avaliam continuamente suas cargas de trabalho Contas da AWS e ajudam você a identificar áreas que se desviam das melhores práticas de segurança. Os controles incluem as melhores práticas de segurança para recursos de vários Serviços da AWS. Cada controle recebe uma categoria que reflete a função de segurança à qual ele se aplica. Para obter uma lista de categorias e detalhes adicionais, consulte [Categorias de controle](control-categories.md).

## Controles que se aplicam ao padrão
<a name="fsbp-controls"></a>

A lista a seguir especifica quais controles CSPM do AWS Security Hub se aplicam ao padrão AWS Foundational Security Best Practices (v1.0.0). Para revisar os detalhes de um controle, escolha o controle.

 [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 

 [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 

 [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 

 [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 

 [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 

 [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 

 [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 

 [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 

 [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 

 [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 

 [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 

 [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 

 [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 

 [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1) 

 [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 

 [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 

 [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 

 [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 

 [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 

 [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 

 [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 

 [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 

 [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 

 [[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.](ec2-controls.md#ec2-3) 

 [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 

 [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7) 

 [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] As instâncias do Amazon EC2 não devem ter um endereço público IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10) 

 [As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15) 

 [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16) 

 [[EC2.17] As instâncias do Amazon EC2 não devem usar várias ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18) 

 [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19) 

 [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 

 [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 

 [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 

 [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 

 [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55)

[[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58)

[[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 

 [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 

 [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 

 [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 

 [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 

 [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 

 [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 

 [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1) 

 [[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2) 

 [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 

 [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 

 [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 

 [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 

 [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 

 [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 

 [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 

 [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 

 [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 

 [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 

 [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 

 [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 

 [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 

 [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 

 [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 

 [[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1) 

 [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 

 [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 

 [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 

 [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 

 [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3) 

 [[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4) 

 [[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado](elb-controls.md#elb-5) 

 [[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada](elb-controls.md#elb-6) 

 [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7) 

 [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado](elb-controls.md#elb-9) 

 [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 

 [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 

 [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 

 [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 

 [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 

 [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 

 [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 

 [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 

 [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 

 [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 

 [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 

 [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 

 [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1) 

 [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) 

 [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 

 [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 

 [[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5) 

 [[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados](es-controls.md#es-6) 

 [[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados](es-controls.md#es-7) 

 [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8) 

 [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 

 [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 

 [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 

 [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 

 [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 

 [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 

 [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 

 [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 

 [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 

 [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 

 [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 

 [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 

 [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 

 [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 

 [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 

 [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 

 [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 

 [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 

 [[KMS.3] não AWS KMS keys deve ser excluído acidentalmente](kms-controls.md#kms-3) 

 [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 

 [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 

 [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) 

 [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 

 [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 

 [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 

 [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3) 

 [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 

 [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 

 [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 

 [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 

 [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 

 [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 

 [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 

 [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 

 [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 

 [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 

 [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 

 [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 

 [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 

 [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 

 [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 

 [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 

 [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 

 [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 

 [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 

 [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 

 [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 

 [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 

 [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 

 [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3) 

 [[RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso](rds-controls.md#rds-4) 

 [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5) 

 [[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS](rds-controls.md#rds-6) 

 [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7) 

 [[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada](rds-controls.md#rds-8) 

 [[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS](rds-controls.md#rds-10) 

 [[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados](rds-controls.md#rds-11) 

 [[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS](rds-controls.md#rds-12) 

 [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13) 

 [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 

 [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 

 [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) 

 [[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots](rds-controls.md#rds-17) 

 [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19) 

 [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20) 

 [[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21) 

 [[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22) 

 [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23) 

 [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 

 [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 

 [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 

 [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 

 [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 

 [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 

 [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 

 [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 

 [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 

 [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 

 [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 

 [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 

 [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 

 [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2) 

 [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 

 [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 

 [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 

 [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 

 [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 

 [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 

 [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 

 [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) 

 [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2) 

 [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3) 

 [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) 

 [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6) 

 [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8) 

 [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9) 

 [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 

 [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 

 [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 

 [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 

 [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 

 [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Remover segredos não utilizados do Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 

 [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 

 [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 

 [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 

 [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 

 [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 

 [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 

 [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 

 [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 

 [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 

 [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 

 [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 

 [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 

 [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 

 [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 

 [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 

 [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

# AWS Padrão de marcação de recursos no Security Hub CSPM
<a name="standards-tagging"></a>

O padrão AWS Resource Tagging, desenvolvido pelo AWS Security Hub CSPM, ajuda você a determinar se seus AWS recursos não têm tags. As *tags* são pares de valores-chave que atuam como metadados para organizar recursos. AWS Com a maioria dos recursos da AWS , você tem a opção de adicionar tags quando cria o recurso ou após a sua criação. Exemplos de recursos incluem CloudFront distribuições da Amazon, instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e segredos em. AWS Secrets Manager As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar AWS recursos.

Cada tag da tem duas partes:
+ Uma chave de tag (por exemplo, `CostCenter`, `Environment` ou `Project`). As chaves de tag diferenciam maiúsculas de minúsculas
+ Um valor de tag (por exemplo, `111122223333` ou `Production`). Assim como as chaves de tag, os valores de tag diferenciam maiúsculas de minúsculas.

É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Para obter informações sobre como adicionar tags aos AWS recursos, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Para cada controle que se aplica ao padrão AWS Resource Tagging no Security Hub CSPM, você pode, opcionalmente, usar o parâmetro suportado para especificar as chaves de tag que você deseja que o controle verifique. Se você não especificar nenhuma chave de tag, o controle verificará somente a existência de pelo menos uma chave de tag e falhará se um recurso não tiver nenhuma chave de tag.

Antes de ativar o padrão AWS de marcação de recursos, é importante ativar e configurar a gravação de recursos no AWS Config. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão. Para obter mais informações, incluindo uma lista dos tipos de recursos a serem registrados, consulte [ AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md).

Depois de habilitar o padrão AWS Resource Tagging, você começa a receber descobertas de controles que se aplicam ao padrão. Observe que pode levar até 18 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço que os controles que se aplicam a outros padrões habilitados. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

O padrão AWS Resource Tagging tem o seguinte nome de recurso da Amazon (ARN)`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`:, *region* onde está o código da região aplicável. Região da AWS Você também pode usar a [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)operação da API CSPM do Security Hub para recuperar o ARN de um padrão atualmente habilitado.

**nota**  
O [padrão Marcação de Recursos da AWS](#standards-tagging) não está disponível nas regiões Ásia-Pacífico (Nova Zelândia) e Ásia-Pacífico (Taipei).

## Controles que se aplicam ao padrão
<a name="tagging-standard-controls"></a>

A lista a seguir especifica quais controles CSPM do AWS Security Hub se aplicam ao padrão AWS Resource Tagging (v1.0.0). Para revisar os detalhes de um controle, escolha o controle.
+ [[ACM.3] Os certificados do ACM devem ser marcados](acm-controls.md#acm-3)
+ [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1)
+ [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2)
+ [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4)
+ [[Athena.2] Os catálogos de dados do Athena devem ser marcados](athena-controls.md#athena-2)
+ [[Athena.3] Os grupos de trabalho do Athena devem ser marcados](athena-controls.md#athena-3)
+ [[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2)
+ [[Backup.3] os AWS Backup cofres devem ser marcados](backup-controls.md#backup-3)
+ [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4)
+ [[Backup.5] os planos de AWS Backup backup devem ser marcados](backup-controls.md#backup-5)
+ [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1)
+ [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2)
+ [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3)
+ [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4)
+ [[CloudFormation.2] as CloudFormation pilhas devem ser marcadas](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail trilhas devem ser marcadas](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1)
+ [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2)
+ [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3)
+ [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4)
+ [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5)
+ [[DynamoB.5] As tabelas do DynamoDB devem ser marcadas](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-33)
+ [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34)
+ [[EC2.35] As interfaces de rede do EC2 devem ser marcadas](ec2-controls.md#ec2-35)
+ [[EC2.36] Os gateways dos clientes do EC2 devem ser marcados](ec2-controls.md#ec2-36)
+ [[EC2.37] Os endereços IP elásticos do EC2 devem ser marcados](ec2-controls.md#ec2-37)
+ [[EC2.38] As instâncias do EC2 devem ser marcadas](ec2-controls.md#ec2-38)
+ [[EC2.39] Os gateways da Internet do EC2 devem ser marcados](ec2-controls.md#ec2-39)
+ [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40)
+ [[EC2.41] A rede ACLs EC2 deve ser marcada](ec2-controls.md#ec2-41)
+ [[EC2.42] As tabelas de rotas do EC2 devem ser marcadas](ec2-controls.md#ec2-42)
+ [[EC2.43] Os grupos de segurança do EC2 devem ser marcados](ec2-controls.md#ec2-43)
+ [[EC2.44] As sub-redes do EC2 devem ser marcadas](ec2-controls.md#ec2-44)
+ [[EC2.45] Os volumes do EC2 devem ser marcados](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs deve ser etiquetada](ec2-controls.md#ec2-46)
+ [[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados](ec2-controls.md#ec2-47)
+ [[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados](ec2-controls.md#ec2-48)
+ [[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas](ec2-controls.md#ec2-49)
+ [[EC2.50] Os gateways de VPN do EC2 devem ser marcados](ec2-controls.md#ec2-50)
+ [[EC2.52] Os gateways de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-52)
+ [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174)
+ [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175)
+ [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176)
+ [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177)
+ [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178)
+ [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179)
+ [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4)
+ [[ECS.13] Os serviços do ECS devem ser marcados](ecs-controls.md#ecs-13)
+ [[ECS.14] Os clusters do ECS devem ser marcados](ecs-controls.md#ecs-14)
+ [[ECS.15] As definições de tarefas do ECS devem ser marcadas](ecs-controls.md#ecs-15)
+ [[EFS.5] Os pontos de acesso do EFS devem ser marcados](efs-controls.md#efs-5)
+ [[EKS.6] Os clusters do EKS devem ser marcados](eks-controls.md#eks-6)
+ [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7)
+ [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9)
+ [[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1)
+ [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados](iam-controls.md#iam-23)
+ [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24)
+ [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25)
+ [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1)
+ [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2)
+ [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3)
+ [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4)
+ [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5)
+ [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1)
+ [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2)
+ [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Os fluxos do Kinesis devem ser marcados](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] As funções do Lambda devem ser marcadas](lambda-controls.md#lambda-6)
+ [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas](networkfirewall-controls.md#networkfirewall-8)
+ [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9)
+ [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2)
+ [[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-28)
+ [[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-29)
+ [[RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas](rds-controls.md#rds-30)
+ [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31)
+ [[RDS.32] Os snapshots de banco de dados do RDS devem ser marcados](rds-controls.md#rds-32)
+ [[RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados](rds-controls.md#rds-33)
+ [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11)
+ [[Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas](redshift-controls.md#redshift-12)
+ [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13)
+ [[Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-14)
+ [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17)
+ [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1)
+ [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1)
+ [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2)
+ [[SNS.3] Os tópicos do SNS devem ser marcados](sns-controls.md#sns-3)
+ [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2)
+ [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2)
+ [Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados](transfer-controls.md#transfer-1)
+ [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4)
+ [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5)
+ [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6)
+ [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7)

# Referência do CIS AWS Foundations no Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

O Center for Internet Security (CIS) AWS Foundations Benchmark serve como um conjunto de melhores práticas de configuração de segurança para. AWS Essas melhores práticas aceitas pelo setor fornecem procedimentos claros de step-by-step implementação e avaliação. Variando de sistemas operacionais a serviços em nuvem e dispositivos de rede, os controles neste benchmark protegem os sistemas específicos que sua organização usa. 

AWS O Security Hub CSPM oferece suporte às versões 5.0.0, 3.0.0, 1.4.0 e 1.2.0 do CIS AWS Foundations Benchmark. Esta página lista os controles de segurança com suporte em cada versão. Ela também fornece uma comparação das versões.

## CIS AWS Foundations Benchmark versão 5.0.0
<a name="cis5v0-standard"></a>

O Security Hub CSPM suporta a versão 5.0.0 (v5.0.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir: 
+ Benchmark CIS para CIS AWS Foundations Benchmark, v5.0.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v5.0.0, Nível 2

### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 5.0.0
<a name="cis5v0-controls"></a>

[[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)

[[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)

[[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)

[[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)

[[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)

[[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)

[[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)

[[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)

[[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8)

[[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)

[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)

[[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)

[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)

[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)

[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)

[1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)

[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)

[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)

[[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)

[[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28)

[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)

[[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)

[[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5)

[[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)

[[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15)

[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)

[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)

[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)

[[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)

[[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22)

[[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark versão 3.0.0
<a name="cis3v0-standard"></a>

O Security Hub CSPM suporta a versão 3.0.0 (v3.0.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir: 
+ Benchmark CIS para CIS AWS Foundations Benchmark, v3.0.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v3.0.0, Nível 2

### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 3.0.0
<a name="cis3v0-controls"></a>

[[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)

[[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)

[[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)

[[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)

[[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)

[[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)

[[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)

[[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)

[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)

[[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)

[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)

[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)

[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)

[1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)

[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)

[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)

[[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)

[[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28)

[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)

[[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)

[[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)

[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)

[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)

[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)

[[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)

[[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22)

[[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark versão 1.4.0
<a name="cis1v4-standard"></a>

O Security Hub CSPM é compatível com a versão 1.4.0 (v1.4.0) do CIS Foundations Benchmark. AWS 

### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 1.4.0
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 

 [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 

 [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7) 

 [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 

 [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 

 [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 

 [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 

 [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 

 [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 

 [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 

 [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 

 [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 

 [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 

 [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) 

 [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3) 

 [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) 

 [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) 

 [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8) 

 [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark versão 1.2.0
<a name="cis1v2-standard"></a>

O Security Hub CSPM suporta a versão 1.2.0 (v1.2.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir: 
+ Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 2

### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 1.2.0
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 

 [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 

 [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) 

 [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 

 [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 

 [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 

 [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 

 [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 

 [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 

 [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 

 [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 

 [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 

 [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 

 [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 

 [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 

 [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 

 [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 

 [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 

 [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 

 [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) 

## Comparação de versões para o CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

Esta seção resume as diferenças entre as versões específicas do benchmark Center for Internet Security (CIS) AWS Foundations — v5.0.0, v3.0.0, v1.4.0 e v1.2.0. AWS O Security Hub CSPM suporta cada uma dessas versões do CIS AWS Foundations Benchmark. Contudo, recomendamos que você use a v5.0.0 para se manter atualizado sobre as práticas recomendadas de segurança. Você pode ter várias versões dos padrões do CIS AWS Foundations Benchmark habilitadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulte [Habilitar um padrão de segurança](enable-standards.md). Se você quiser atualizar para a v5.0.0, habilite-a antes de desabilitar a versão mais antiga. Isso evitará lacunas em suas verificações de segurança. [Se você usa a integração CSPM do Security Hub AWS Organizations e deseja habilitar em lote a v5.0.0 em várias contas, recomendamos usar a configuração central.](central-configuration-intro.md)

### Mapeamento de controles para os requisitos do CIS em cada versão
<a name="cis-version-comparison"></a>

Entenda quais controles cada versão do CIS AWS Foundations Benchmark suporta.


| Título e ID do controle | Requisito CIS v5.0.0 | Necessidade do CIS v3.0.0 | Necessidade do CIS v1.4.0 | Necessidade do CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1,18  | 
|  [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  3.1  | 
|  [[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  3.2  | 
|  [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4,9  |  3.9  | 
|  [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.10  |  3.10  | 
|  [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.11  |  3.11  | 
|  [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.12  |  3.12  | 
|  [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.14  |  3.14  | 
|  [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2,5  | 
|  [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Não compatível  | 
|  [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)  |  Sem suporte: substituído pelos requisitos 5.3 e 5.4  |  Não compatível: substituído pelos requisitos 5.2 e 5.3  |  Não compatível: substituído pelos requisitos 5.2 e 5.3  |  4.1  | 
|  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14)  |  Sem suporte: substituído pelos requisitos 5.3 e 5.4  |  Não compatível: substituído pelos requisitos 5.2 e 5.3  |  Não compatível: substituído pelos requisitos 5.2 e 5.3  |  4.2  | 
|  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Não compatível  | 
|  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8)  |  2.3.1  |  Sem compatibilidade  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)  |  Sem compatibilidade   |  Sem compatibilidade   |  1.16  |  1,22  | 
|  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Não compatível  |  1.16  | 
|  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)  |  1.5  |  1,6  |  1.6  |  1.14  | 
|  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)  |  Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso  |  Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso  |  Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso  |  1.3  | 
|  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.5  | 
|  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.6  | 
|  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1,7  | 
|  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.8  | 
|  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)  |  1,7  |  1.8  |  1.8  |  1.9  | 
|  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.11  | 
|  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)  |  1.16  |  1.17  |  1.17  |  1.2  | 
|  [[IAM.20] Evite o uso do usuário raiz](iam-controls.md#iam-20)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.1  | 
|  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)  |  1,18  |  1,19  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1,21  |  1,22  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28)  |  1,19  |  1,20  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  Não compatível: verificação manual  | 
|  [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5)  |  2.2.4  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15)  |  2.2.4  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 

### ARNs para benchmarks do CIS AWS Foundations
<a name="cisv1.4.0-finding-fields"></a>

Ao habilitar uma ou mais versões do CIS AWS Foundations Benchmark, você começa a receber descobertas no AWS Security Finding Format (ASFF). No ASFF, cada versão usa o seguinte nome do recurso da Amazon (ARN):

**Referência do CIS AWS Foundations v5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Referência do CIS AWS Foundations v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Referência do CIS AWS Foundations v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Referência do CIS AWS Foundations v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

É possível usar a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) da API do CSPM do Security Hub para encontrar o ARN de um padrão habilitado.

Os valores anteriores são para o `StandardsArn`. Porém, o `StandardsSubscriptionArn` refere-se ao recurso de assinatura padrão que o CSPM do Security Hub cria quando você assina um padrão chamando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) em uma região.

**nota**  
Quando você habilita uma versão do CIS AWS Foundations Benchmark, pode levar até 18 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço dos controles habilitados em outros padrões habilitados. Para obter mais informações sobre o cronograma de geração de descobertas de controles, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

Os campos de descoberta serão diferentes se você ativar as descobertas de controles consolidadas. Para obter informações sobre essas diferenças, consulte [Impacto da consolidação nos campos e valores do ASFF](asff-changes-consolidation.md). Para obter exemplos de descobertas de controles, consulte [Exemplos de descobertas de controles](sample-control-findings.md).

### Requisitos do CIS sem suporte no CSPM do Security Hub
<a name="securityhub-standards-cis-checks-not-supported"></a>

Conforme observado na tabela anterior, o CSPM do Security Hub não suporta todos os requisitos de CIS em todas as versões do CIS Foundations Benchmark. AWS Muitos dos requisitos sem suporte só podem ser avaliados com a análise manual do estado dos seus recursos da AWS .

# NIST SP 800-53 Revisão 5 no CSPM do Security Hub
<a name="standards-reference-nist-800-53"></a>

O NIST Special Publication 800-53 Revisão 5 (NIST SP 800-53 Rev. 5) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo National Institute of Standards and Technology (NIST), uma agência que faz parte do Departamento de Comércio dos EUA. Essa estrutura de conformidade fornece um catálogo de requisitos de segurança e privacidade para proteger a confidencialidade, a integridade e a disponibilidade dos sistemas de informações e de recursos essenciais. Agências e prestadores de serviços do governo federal dos EUA devem cumprir esses requisitos para proteger seus sistemas e organizações. As organizações privadas também podem usar voluntariamente os requisitos como uma estrutura orientadora para reduzir os riscos de segurança cibernética. Para obter mais informações sobre a estrutura e seus requisitos, consulte [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) no *Centro de Recursos de Segurança da Informática do NIST*.

AWS O Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-53 Revisão 5. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-53 Revisão 5 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-53 Revisão 5 que exigem verificações manuais.

Ao contrário de outras estruturas, a estrutura do NIST SP 800-53 Revisão 5 não é prescritiva sobre como seus requisitos devem ser avaliados. Em vez disso, a estrutura fornece diretrizes. NO CSPM do Security Hub, o padrão e os controles do NIST SP 800-53 Revisão 5 representam a compreensão do serviço sobre essas diretrizes.

**Topics**
+ [Configuração do registro de recursos para o padrão](#standards-reference-nist-800-53-recording)
+ [Determinação de quais controles se aplicam ao padrão](#standards-reference-nist-800-53-controls)

## Configuração do registro de recursos para controles que se aplicam ao padrão
<a name="standards-reference-nist-800-53-recording"></a>

Para otimizar a cobertura e a precisão das descobertas, é importante ativar e configurar o registro de recursos AWS Config antes de ativar o padrão NIST SP 800-53 Revisão 5 no AWS Security Hub CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Isso é principalmente para controles que tenham um tipo de programação *acionada por alteração*. Contudo, alguns controles com um tipo de programação *periódica* também exigem o registro de recursos. Se o registro de recursos não estiver habilitado ou configurado corretamente, o CSPM do Security Hub talvez pode não ser capaz de avaliar os recursos apropriados e gerar descobertas precisas para os controles que se aplicam ao padrão.

Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos em AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações sobre como configurar a gravação de recursos em AWS Config, consulte Como [trabalhar com o gravador de configuração](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no Guia do *AWS Config desenvolvedor*.

A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-53 Revisão 5 no CSPM do Security Hub.


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Serviço Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  banco de dados de origem  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|   SageMaker IA da Amazon  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Determinação de quais controles se aplicam ao padrão
<a name="standards-reference-nist-800-53-controls"></a>

A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-53 Revisão 5 e se aplicam ao padrão NIST SP 800-53 Revisão 5 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo **Requisitos relacionados** nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
+ [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)
+ [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)
+ [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1) 
+  [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 
+  [[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.](ec2-controls.md#ec2-3) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7) 
+  [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] As instâncias do Amazon EC2 não devem ter um endereço público IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] O Amazon EC2 não utilizado deve ser removido EIPs](ec2-controls.md#ec2-12) 
+  [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) 
+  [As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15) 
+  [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16) 
+  [[EC2.17] As instâncias do Amazon EC2 não devem usar várias ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18) 
+  [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19) 
+  [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1) 
+  [[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3) 
+  [[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4) 
+  [[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado](elb-controls.md#elb-5) 
+  [[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada](elb-controls.md#elb-6) 
+  [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7) 
+  [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado](elb-controls.md#elb-9) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1) 
+  [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5) 
+  [[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados](es-controls.md#es-6) 
+  [[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados](es-controls.md#es-7) 
+  [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.3] não AWS KMS keys deve ser excluído acidentalmente](kms-controls.md#kms-3) 
+  [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) 
+  [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 
+  [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) 
+  [[Lambda.3] As funções do Lambda devem estar em uma VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3) 
+  [[RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso](rds-controls.md#rds-4) 
+  [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5) 
+  [[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS](rds-controls.md#rds-6) 
+  [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7) 
+  [[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada](rds-controls.md#rds-8) 
+  [[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS](rds-controls.md#rds-10) 
+  [[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados](rds-controls.md#rds-11) 
+  [[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS](rds-controls.md#rds-12) 
+  [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 
+  [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) 
+  [[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots](rds-controls.md#rds-17) 
+  [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19) 
+  [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20) 
+  [[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21) 
+  [[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22) 
+  [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 
+  [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 
+  [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) 
+  [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2) 
+  [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3) 
+  [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) 
+  [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8) 
+  [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14) 
+  [[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado](s3-controls.md#s3-15) 
+  [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Remover segredos não utilizados do Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revisão 2 no CSPM do Security Hub
<a name="standards-reference-nist-800-171"></a>

O NIST Special Publication 800-171 Revisão 2 (NIST SP 800-171 Rev. 2) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo National Institute of Standards and Technology (NIST), uma agência que faz parte do Departamento de Comércio dos EUA. Essa estrutura de conformidade fornece os requisitos de segurança recomendados para proteger a confidencialidade de informações não classificadas controladas em sistemas e organizações que não fazem parte do governo federal dos EUA. *Informações não classificadas controladas*, também conhecidas como *CUI*, são informações sensíveis que não atendem aos critérios governamentais de classificação, mas devem ser protegidas. São informações que são consideradas sensíveis e são criadas ou possuídas pelo governo federal dos EUA ou por outras entidades em nome do governo federal dos EUA.

O NIST SP 800-171 Rev. 2 fornece os requisitos de segurança recomendados para proteger a confidencialidade da CUI quando:
+ As informações residem em sistemas e organizações não federais,
+ A organização não federal não está coletando ou mantendo informações em nome de uma agência federal ou usando ou operando um sistema em nome de uma agência, e 
+ Não há requisitos de proteção específicos para proteger a confidencialidade da CUI prescritos pela lei, regulamentação ou política governamental autorizadora para a categoria de CUI listada no Registro de CUI. 

Os requisitos se aplicam a todos os componentes de sistemas e organizações não federais que processam, armazenam ou transmitem CUI ou fornecem proteção de segurança para os componentes. Para obter mais informações sobre o [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final), consulte o *Centro de Recursos de Segurança da Informática do NIS*.

AWS O Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-171 Revisão 2. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-171 Revisão 2 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-171 Revisão 2 que exigem verificações manuais.

**Topics**
+ [Configuração do registro de recursos para o padrão](#standards-reference-nist-800-171-recording)
+ [Determinação de quais controles se aplicam ao padrão](#standards-reference-nist-800-171-controls)

## Configuração do registro de recursos para controles que se aplicam ao padrão
<a name="standards-reference-nist-800-171-recording"></a>

Para otimizar a cobertura e a precisão das descobertas, é importante habilitar e configurar o registro de recursos AWS Config antes de habilitar o padrão NIST SP 800-171 Revisão 2 no Security Hub AWS CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão.

Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos em AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações sobre como configurar a gravação de recursos em AWS Config, consulte Como [trabalhar com o gravador de configuração](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no Guia do *AWS Config desenvolvedor*.

A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-171 Revisão 2 no CSPM do Security Hub.


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Determinação de quais controles se aplicam ao padrão
<a name="standards-reference-nist-800-171-controls"></a>

A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-171 Revisão 2 e se aplicam ao padrão NIST SP 800-171 Revisão 2 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo **Requisitos relacionados** nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
+ [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)
+ [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)
+ [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16)
+ [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18)
+ [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19)
+ [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20)
+ [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51)
+ [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2)
+ [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)
+ [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
+ [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)
+ [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)
+ [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10)
+ [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)
+ [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)
+ [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)
+ [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)
+ [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
+ [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
+ [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)
+ [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21)
+ [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)
+ [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6)
+ [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9)
+ [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11)
+ [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14)
+ [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1)
+ [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2)
+ [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12)

# PCI DSS no CSPM do Security Hub
<a name="pci-standard"></a>

O Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) é uma estrutura de conformidade de terceiro que fornece um conjunto de regras e diretrizes para o tratamento seguro de informações de cartões de crédito e débito. O Conselho de Normas de Segurança (SSC) da PCI cria e atualiza essa estrutura.

AWS O Security Hub CSPM fornece um padrão PCI DSS que pode ajudá-lo a manter a conformidade com essa estrutura de terceiros. É possível usar esse padrão para descobrir vulnerabilidades de segurança em recursos da AWS que lidam com dados de titulares de cartões. Recomendamos habilitar esse padrão na Contas da AWS que tenha os recursos que armazenem, processem ou transmitam dados do titular do cartão ou dados sensíveis de autenticação. As avaliações do PCI SSC validaram esse padrão.

O CSPM do Security Hub oferece suporte para PCI DSS v3.2.1 e PCI DSS v4.0.1. Sugerimos o uso da v4.0.1 para se manter atualizado sobre as práticas recomendadas de segurança. É possível ter várias versões do padrão habilitadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulte [Habilitar um padrão de segurança](enable-standards.md). Se você usa atualmente a v3.2.1, mas deseja usar somente a v4.0.1, habilite a versão mais recente antes de desabilitar a versão mais antiga. Isso evitará lacunas em suas verificações de segurança. Se você usa a integração CSPM do Security Hub com AWS Organizations e deseja habilitar em lote a v4.0.1 em várias contas, recomendamos usar a [configuração central](central-configuration-intro.md) para fazer isso.

As seções a seguir especificam quais controles se aplicam ao PCI DSS v3.2.1 e ao PCI DSS v4.0.1.

## Controles que se aplicam ao PCI DSS v3.2.1
<a name="pci-controls"></a>

A lista a seguir especifica quais controles do CSPM do Security Hub se aplicam ao PCI DSS v3.2.1. Para revisar os detalhes de um controle, escolha o controle.

 [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 

 [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1) 

 [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 

 [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] O Amazon EC2 não utilizado deve ser removido EIPs](ec2-controls.md#ec2-12) 

 [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) 

 [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1) 

 [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1) 

 [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 

 [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 

 [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 

 [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 

 [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 

 [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 

 [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 

 [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 

 [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 

 [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) 

 [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 

 [[Lambda.3] As funções do Lambda devem estar em uma VPC](lambda-controls.md#lambda-3) 

 [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 

 [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 

 [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 

 [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2) 

 [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 

 [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) 

 [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2) 

 [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3) 

 [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) 

 [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 

 [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 

 [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 

## Controles que se aplicam ao PCI DSS v4.0.1
<a name="pci4-controls"></a>

A lista a seguir especifica quais controles do CSPM do Security Hub se aplicam ao PCI DSS v4.0.1. Para revisar os detalhes de um controle, escolha o controle.

[[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)

[[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2)

[[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2)

[[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3)

[[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1)

[[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10)

[[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11)

[[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12)

[[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6)

[[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7)

[[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8)

[[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9)

[[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)

[[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14)

[As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15)

[[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16)

[[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171)

[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)

[[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25)

[[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51)

[[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)

[[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)

[[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1)

[[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10)

[[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16)

[[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2)

[[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8)

[[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4)

[[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1)

[[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)

[[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3)

[[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8)

[[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12)

[O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14)

[Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3)

[[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4)

[[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8)

[[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1)

[[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2)

[[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2)

[[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3)

[[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5)

[[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8)

[[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9)

[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)

[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)

[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)

[[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)

[[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)

[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)

[1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)

[1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)

[Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)

[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)

[1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17)

[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)

[[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)

[[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1)

[[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2)

[[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3)

[[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4)

[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)

[[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1)

[[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)

[[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3)

[[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1)

[[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3)

[[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3)

[Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10)

[Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5)

[[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)

[[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20)

[[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21)

[[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22)

[[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24)

[[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25)

[[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35)

[[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37)

[[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9)

[[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1)

[[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15)

[[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2)

[[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4)

[[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2)

[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)

[[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado](s3-controls.md#s3-15)

[[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19)

[[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22)

[[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23)

[[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24)

[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)

[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)

[[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9)

[[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4)

[[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2)

[PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3)

[[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2)

[[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1)

[[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11)

# Padrões gerenciados por serviços no CSPM do Security Hub
<a name="service-managed-standards"></a>

Um padrão gerenciado por serviços é um padrão de segurança AWS service (Serviço da AWS) gerenciado por outra pessoa, mas que você pode visualizar no CSPM do Security Hub. Por exemplo, Padrão [gerenciado por serviços: AWS Control Toweré um padrão gerenciado](service-managed-standard-aws-control-tower.md) por serviços que gerencia. AWS Control Tower Um padrão gerenciado por serviço difere de um padrão de segurança que o CSPM do AWS Security Hub gerencia das maneiras a seguir:
+ **Criação e exclusão de padrões**: você cria e exclui um padrão gerenciado por serviço com o console ou a API do serviço de gerenciamento, ou com o AWS CLI. Até que você crie o padrão no serviço de gerenciamento de uma dessas formas, o padrão não aparece no console do CSPM do Security Hub e não pode ser acessado pela API do CSPM do Security Hub ou pela AWS CLI.
+ **Sem ativação automática dos controles**: quando você cria um padrão gerenciado por serviço, o CSPM do Security Hub e o serviço de gerenciamento não habilitam automaticamente os controles que se aplicam ao padrão. Além disso, quando o CSPM do Security Hub lança novos controles para o padrão, eles não são habilitados automaticamente. Isso é um desvio dos padrões que o CSPM do Security Hub gerencia. Para obter mais informações sobre a maneira usual de configurar controles no CSPM do Security Hub, consulte [Noções básicas sobre os controles de segurança no CSPM do Security Hub](controls-view-manage.md).
+ **Ativar e desativar controles**: recomendamos ativar e desativar os controles no serviço de gerenciamento para evitar desvios.
+ **Disponibilidade de controles**: o serviço de gerenciamento escolhe quais controles estão disponíveis como parte do padrão gerenciado por serviço. Os controles disponíveis podem incluir todos ou um subconjunto dos controles existentes do CSPM do Security Hub.

Depois que o serviço de gerenciamento criar o padrão gerenciado por serviço e disponibilizar os controles para ele, será possível acessar suas descobertas de controle, status de controle e pontuação de segurança padrão no console do CSPM do Security Hub, na API do CSPM do Security Hub ou na AWS CLI. Algumas ou todas essas informações também podem estar disponíveis no serviço de gerenciamento.

Selecione um padrão gerenciado por serviço na lista a seguir para ver mais detalhes sobre ele.

**Topics**
+ [

# Padrão gerenciado por serviços: AWS Control Tower
](service-managed-standard-aws-control-tower.md)

# Padrão gerenciado por serviços: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Esta seção fornece informações sobre o Service-Managed Standard:. AWS Control Tower

## O que é o padrão gerenciado por serviços:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Padrão gerenciado por serviços: AWS Control Tower é um padrão gerenciado por serviços que AWS Control Tower suporta um subconjunto de controles do Security Hub. Esse padrão foi desenvolvido para usuários do AWS Security Hub CSPM e. AWS Control Tower Ele permite que você configure os controles de detetive do Security Hub CSPM a partir do serviço. AWS Control Tower 

Os controles de detetive detectam a não conformidade de recursos (por exemplo, configurações incorretas) em sua Contas da AWS.

**dica**  
Os padrões gerenciados por serviços diferem dos padrões gerenciados pelo AWS Security Hub CSPM. Por exemplo, é necessário criar e excluir um padrão gerenciado por serviço no serviço de gerenciamento. Para obter mais informações, consulte [Padrões gerenciados por serviços no CSPM do Security Hub](service-managed-standards.md).

Quando você ativa um controle CSPM do Security Hub por meio do AWS Control Tower, o Control Tower também ativa o CSPM do Security Hub para você nessas contas e regiões específicas, se ainda não estiver habilitado. No console e na API do Security Hub CSPM, você pode visualizar o Service-Managed Standard: junto com outros padrões CSPM do AWS Control Tower Security Hub, uma vez que o padrão é ativado a partir de. AWS Control Tower

Para obter mais informações sobre esse padrão, consulte [controles do CSPM do Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) no *Guia do usuário do AWS Control Tower *.

## Criando o padrão
<a name="aws-control-tower-standard-creation"></a>

Esse padrão está disponível no CSPM do Security Hub somente se você habilitar os controles CSPM do Security Hub a partir de. AWS Control Tower AWS Control Tower cria o padrão quando você ativa pela primeira vez um controle aplicável usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)

Ao habilitar um controle CSPM do Security Hub por meio de AWS Control Tower, se você ainda não tiver habilitado o CSPM do Security Hub, também habilita o CSPM do AWS Control Tower Security Hub para você nessas contas e regiões específicas.

Para identificar um controle CSPM do Security Hub por ID de controle no Catálogo de Controle, você pode usar o campo `Implementation.Identifier` em. AWS Control Tower Esse campo mapeia para a ID de controle CSPM do Security Hub e pode ser usado para filtrar uma ID de controle específica. Para recuperar metadados de controle para um controle CSPM específico do Security Hub (digamos, "CodeBuild.1") em AWS Control Tower, você pode usar a API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Você não pode visualizar ou acessar esse padrão no console CSPM do Security Hub, na API CSPM do Security Hub ou AWS CLI sem primeiro configurar e habilitar os controles CSPM do AWS Control Tower Security Hub AWS Control Tower usando um dos métodos anteriores.

Esse padrão só está disponível no [Regiões da AWS local onde AWS Control Tower está disponível](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).

## Ativando e desativando controles no padrão
<a name="aws-control-tower-standard-managing-controls"></a>

Depois de habilitar os controles CSPM do Security Hub AWS Control Tower e criar o padrão Service-Managed AWS Control Tower Standard:, você pode visualizar o padrão e seus controles disponíveis no Security Hub CSPM.

Quando o Security Hub CSPM adiciona novos controles ao Padrão Gerenciado por Serviços: AWS Control Tower padrão, eles não são habilitados automaticamente para clientes que têm o padrão ativado. Você deve ativar e desativar os controles para o formulário padrão AWS Control Tower usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame o [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)e [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (execute os [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandos [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)e)

Quando você altera o status de habilitação de um controle em AWS Control Tower, a alteração também é refletida no CSPM do Security Hub.

No entanto, desabilitar um controle no CSPM do Security Hub que está ativado AWS Control Tower resulta em desvio de controle. O status do controle em é AWS Control Tower exibido como`Drifted`. Você pode resolver esse desvio usando a [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API para redefinir o controle que está em desvio, selecionando [Registrar novamente a OU](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) no AWS Control Tower console ou desativando e reativando o controle AWS Control Tower usando um dos métodos anteriores.

A conclusão das ações de ativação e desativação AWS Control Tower ajuda a evitar desvios de controle.

Quando você ativa ou desativa os controles em AWS Control Tower, a ação se aplica às contas e regiões governadas por AWS Control Tower. Se você ativar e desativar os controles no CSPM do Security Hub (não recomendado para esse padrão), a ação se aplicará somente à conta e à região atuais.

**nota**  
A [configuração central](central-configuration-intro.md) não pode ser usada para gerenciar o Service-Managed Standard:. AWS Control Tower Você pode usar *somente* o AWS Control Tower serviço para ativar e desativar os controles nesse padrão.

## Visualizando o status da habilitação e o status do controle
<a name="aws-control-tower-standard-control-status"></a>

É possível exibir o status de habilitação de um controle usando um dos métodos a seguir:
+ Console CSPM do Security Hub, API CSPM do Security Hub ou AWS CLI
+ AWS Control Tower console
+ AWS Control Tower API para ver uma lista de controles habilitados (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI para ver uma lista de controles habilitados (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)

Um controle que você desabilita AWS Control Tower tem um status de habilitação no CSPM do `Disabled` Security Hub, a menos que você habilite explicitamente esse controle no CSPM do Security Hub.

O CSPM do Security Hub calcula o status do controle com base no status do fluxo de trabalho e no status de conformidade das descobertas de controle. Para obter mais informações sobre o status de habilitação e o status de controle, consulte [Análise dos detalhes dos controles no CSPM do Security Hub](securityhub-standards-control-details.md).

Com base nos status de controle, o Security Hub CSPM calcula uma [pontuação de segurança](standards-security-score.md) para o Service-Managed Standard:. AWS Control Tower Essa pontuação só está disponível no CSPM do Security Hub. Além disso, você só pode visualizar as [descobertas de controle](controls-findings-create-update.md) no CSPM do Security Hub. A pontuação de segurança padrão e as descobertas de controle não estão disponíveis em AWS Control Tower.

**nota**  
Quando você ativa controles para Service-Managed Standard: AWS Control Tower, o Security Hub CSPM pode levar até 18 horas para gerar descobertas para controles que usam uma regra vinculada ao serviço existente. AWS Config É possível ter regras vinculadas a serviços existentes se tiver habilitado outros padrões e controles no CSPM do Security Hub. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

## Excluindo o padrão
<a name="aws-control-tower-standard-deletion"></a>

Você pode excluir esse padrão gerenciado de serviços em AWS Control Tower desativando todos os controles aplicáveis usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)

A desativação de todos os controles exclui o padrão em todas as contas gerenciadas e regiões governadas no AWS Control Tower. A exclusão do padrão em o AWS Control Tower remove da página **Padrões** do console CSPM do Security Hub, e você não pode mais acessá-lo usando a API CSPM do Security Hub ou. AWS CLI

**nota**  
 Desabilitar todos os controles do padrão no CSPM do Security Hub não desabilita nem exclui o padrão. 

A desativação do serviço CSPM do Security Hub remove o Service-Managed Standard: AWS Control Tower e quaisquer outros padrões que você tenha habilitado.

## Localizando o formato de campo para o Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Ao criar o Service-Managed Standard: AWS Control Tower e habilitar controles para ele, você começará a receber descobertas de controle no Security Hub CSPM. O CSPM do Security Hub relata as descobertas de controle no [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md). Esses são os valores ASFF para o nome do recurso da Amazon (ARN) desse padrão e `GeneratorId`:
+ **ARN padrão**: `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Para obter um exemplo de descoberta do Service-Managed Standard: AWS Control Tower, consulte. [Exemplos de descobertas de controles](sample-control-findings.md)

## Controles que se aplicam ao padrão gerenciado por serviços: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Padrão gerenciado por serviços: AWS Control Tower suporta um subconjunto de controles que fazem parte do padrão AWS Foundational Security Best Practices (FSBP). Escolha um controle para ver informações sobre ele, incluindo etapas de correção para descobertas com falha.

Para ver quais controles CSPM do Security Hub são compatíveis AWS Control Tower, você pode usar um dos seguintes métodos:
+ AWS Console do Control Catalog, onde você pode filtrar por `“Control owner = AWS Security Hub”`
+ AWS API do Catálogo de Controle (chame a [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) com filtro `Implementations` para verificar se `Types` é `AWS::SecurityHub::SecurityControl`
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) com filtro para`Implementations`. Exemplo de comando da CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Os limites regionais nos controles CSPM do Security Hub, quando ativados pelo padrão Control Tower, podem não corresponder aos limites regionais dos controles subjacentes.

No Security Hub CSPM, se [as descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings) estiverem desativadas em sua conta, o `ProductFields.ControlId` campo nas descobertas geradas usará o ID de controle baseado em padrão. **O ID de controle baseado em padrões é formatado como CT. *ControlId***(por exemplo, **CT. CodeBuild.1**).

Para obter mais informações sobre esse padrão, consulte [controles do CSPM do Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) no *Guia do usuário do AWS Control Tower *.

# Habilitar um padrão de segurança
<a name="enable-standards"></a>

Quando você habilita um padrão de segurança no AWS Security Hub CSPM, o Security Hub CSPM cria e ativa automaticamente todos os controles que se aplicam ao padrão. O CSPM do Security Hub também começa a executar verificações de segurança e a gerar descobertas para os controles.

Para otimizar a cobertura e a precisão das descobertas, ative e configure o registro de recursos AWS Config antes de ativar um padrão. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de recursos verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão. Para obter mais informações, consulte [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md).

Depois de habilitar um padrão, é possível desabilitar ou reabilitar posteriormente controles individuais que se aplicam ao padrão. Se você desabilitar um controle em um padrão, o CSPM do Security Hub parará de gerar descobertas para o controle. Além disso, o CSPM do Security Hub ignorará o controle ao calcular a pontuação de segurança do padrão. A pontuação de segurança é o percentual de controles aprovados na avaliação em relação ao número total de controles que se aplicam ao padrão, estão habilitados e têm dados de avaliação.

Quando você habilita um padrão, o CSPM do Security Hub gera uma pontuação de segurança preliminar para o padrão, normalmente dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de Segurança** no console do CSPM do Security Hub. As pontuações de segurança são geradas somente para padrões que estejam habilitados quando você visita essas páginas no console. Além disso, o registro de recursos deve ser configurado AWS Config para que as pontuações apareçam. Nas regiões da China AWS GovCloud (US) Regions, pode levar até 24 horas para que o Security Hub CSPM gere uma pontuação de segurança preliminar para um padrão. Depois que o CSPM do Security Hub gera uma pontuação preliminar, ele atualiza a pontuação a cada 24 horas. Para determinar quando uma pontuação de segurança foi atualizada pela última vez, é possível consultar um timestamp que o CSPM do Security Hub fornece para a pontuação. Para obter mais informações, consulte [Calcular pontuações de segurança](standards-security-score.md).

A forma como você habilita um padrão depende de se você usa a [configuração central](central-configuration-intro.md) para gerenciar o CSPM do Security Hub para várias contas e Regiões da AWS. Recomendamos que você use a configuração central se quiser habilitar padrões em ambientes com várias contas e várias regiões. Você pode usar a configuração central se integrar o Security Hub CSPM com o. AWS Organizations Se você não usar a configuração central, deverá habilitar cada padrão separadamente em cada conta e cada região.

**Topics**
+ [

## Habilitando um padrão em várias contas e Regiões da AWS
](#enable-standards-central-configuration)
+ [

## Habilitando um padrão em uma única conta e Região da AWS
](#securityhub-standard-enable-console)
+ [

## Verificação do status de um padrão
](#standard-subscription-status)

## Habilitando um padrão em várias contas e Regiões da AWS
<a name="enable-standards-central-configuration"></a>

Para habilitar e configurar um padrão de segurança em várias contas Regiões da AWS, use a [configuração central](central-configuration-intro.md). Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que habilitem um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (OUs) ou à raiz. Uma política de configuração afeta a região inicial, também chamada de *região de agregação*, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, você pode optar por habilitar somente o padrão AWS Foundational Security Best Practices (FSBP) para uma OU. Para outra UO, você pode optar por ativar o padrão FSBP e o padrão Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Para obter informações sobre como criar uma política de configuração que habilite certos padrões especificados, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

Se você usa a configuração central, o CSPM do Security Hub não habilita automaticamente nenhum padrão em contas novas ou existentes. Em vez disso, o administrador do CSPM do Security Hub especifica quais padrões devem ser habilitados em contas diferentes ao criar políticas de configuração do CSPM do Security Hub para sua organização. O CSPM do Security Hub oferece uma política de configuração recomendada na qual somente o padrão FSBP está habilitado. Para obter mais informações, consulte [Tipos de políticas de configuração](configuration-policies-overview.md#policy-types).

**nota**  
O administrador do CSPM do Security Hub pode usar políticas de configuração para habilitar qualquer padrão, exceto o [padrão gerenciado por serviço AWS Control Tower](service-managed-standard-aws-control-tower.md). Para habilitar esse padrão, o administrador deve usar AWS Control Tower diretamente. Eles também devem ser usados AWS Control Tower para ativar ou desativar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas habilitem e configurem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como *contas autogerenciadas*. As contas autogerenciadas devem habilitar e configurar padrões separadamente em cada região.

## Habilitando um padrão em uma única conta e Região da AWS
<a name="securityhub-standard-enable-console"></a>

Se você não usar a configuração central ou se você tiver uma conta autogerenciada, não será possível usar políticas de configuração para habilitar padrões de forma centralizada em várias contas ou Regiões da AWS. Contudo, será possível habilitar um padrão em uma única conta e região. Também é possível fazer isso usando o console do CSPM do Security Hub ou a API do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

Siga estas etapas para habilitar um padrão em uma conta e região usando o console do CSPM do Security Hub.

**Para habilitar um padrão em uma conta e região**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar o padrão.

1. No painel de navegação, escolha **Padrões de segurança**. A página **Padrões de segurança** lista todos os padrões atualmente com suporte no CSPM do Security Hub. Se você já habilitou um padrão, a seção do padrão incluirá a pontuação de segurança atual e detalhes adicionais do padrão.

1. Na seção do padrão que deseja habilitar, escolha **Habilitar padrão**.

Para habilitar o padrão em regiões adicionais, repita as etapas anteriores em cada região adicional.

------
#### [ Security Hub CSPM API ]

Para habilitar um padrão programaticamente em uma única conta e região, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html). Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)comando.

Em sua solicitação, use o parâmetro `StandardsArn` para especificar o nome do recurso da Amazon (ARN) do padrão que você deseja habilitar. Especifique também a região à qual a sua solicitação se aplica. Por exemplo, o comando a seguir ativa o padrão AWS Foundational Security Best Practices (FSBP):

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

Onde *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** está o ARN do padrão FSBP na região Leste dos EUA (Norte da Virgínia) e *us-east-1* a região na qual ativá-lo.

Para obter o ARN de um padrão, use a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operação ou, se estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Para ver uma lista inicial dos padrões atualmente habilitados na sua conta, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html). Se você estiver usando o AWS CLI, você pode executar o [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para recuperar essa lista.

------

Depois de habilitar um padrão, o CSPM do Security Hub começará a executar tarefas para habilitar o padrão na conta e na região especificada. Isso inclui a criação de todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, é possível verificar o status do padrão para a conta e a região.

## Verificação do status de um padrão
<a name="standard-subscription-status"></a>

Quando você habilita um padrão de segurança para uma conta, o CSPM do Security Hub começa a criar os controles que se aplicam ao padrão na conta. O CSPM do Security Hub também executa tarefas adicionais para habilitar o padrão para a conta, como a geração de uma pontuação de segurança preliminar para o padrão. Enquanto o CSPM do Security Hub executa essas tarefas, o status do padrão é *Pending* para a conta. Em seguida, o status do padrão passa por estados adicionais, que podem ser monitorados e verificados.

**nota**  
Alterações nos controles individuais de um padrão não afetam o status geral do padrão. Por exemplo, se você habilitar um controle que tenha desativado anteriormente, sua alteração não afetará o status do padrão. Da mesma forma, se você alterar um valor de parâmetro para um controle ativado, sua alteração não afetará o status do padrão.

Para verificar o status de um padrão usando o console do CSPM do Security Hub, escolha **Padrões de segurança** no painel de navegação. A página **Padrões de segurança** lista todos os padrões atualmente com suporte no CSPM do Security Hub. Se o CSPM do Security Hub estiver atualmente executando tarefas para habilitar o padrão, a seção do padrão indicará que o CSPM do Security Hub ainda está gerando uma pontuação de segurança para o padrão. Se um padrão estiver habilitado, a seção do padrão incluirá a pontuação atual. Escolha **Exibir resultados** para analisar detalhes adicionais, incluindo o status dos controles individuais que se aplicam ao padrão. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

Para verificar o status de um padrão programaticamente com a API do CSPM do Security Hub, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html). Em sua solicitação, use, opcionalmente, o parâmetro `StandardsSubscriptionArns` para especificar o nome do recurso da Amazon (ARN) do padrão cujo status você deseja verificar. Se você estiver usando o AWS Command Line Interface (AWS CLI), poderá executar o [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para verificar o status de um padrão. Para especificar o ARN do padrão a ser verificado, use o parâmetro `standards-subscription-arns`. Para determinar qual ARN especificar, você pode usar a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operação ou, para o AWS CLI, executar o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Se a sua solicitação obtiver êxito, o CSPM do Security Hub responderá com uma matriz de objetos `StandardsSubscription`. Uma *assinatura padrão* é um AWS recurso que o Security Hub CSPM cria em uma conta quando um padrão é habilitado para a conta. Cada objeto `StandardsSubscription` fornece detalhes sobre um padrão que está atualmente habilitado ou está sendo habilitado ou desabilitado para a conta. Dentro de cada objeto, o campo `StandardsStatus` especifica o status atual do padrão para a conta.

O status de um padrão (`StandardsStatus`) pode ser um dos mostrados a seguir.

**PENDING**  
O CSPM do Security Hub está atualmente executando tarefas para habilitar o padrão para a conta. Isso inclui criar os controles que se apliquem ao padrão e gerar uma pontuação de segurança preliminar para o padrão. Pode levar alguns minutos para que o CSPM do Security Hub conclua todas as tarefas. Um padrão também pode ter esse status se já estiver habilitado para a conta e o CSPM do Security Hub estiver adicionando novos controles ao padrão.  
Se um padrão tiver esse status, talvez você não seja capaz de recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, talvez você não consiga configurar ou desabilitar controles individuais para o padrão. Por exemplo, se você tentar desabilitar um controle usando a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html), ocorrerá um erro.  
Para determinar se é possível configurar ou gerenciar controles individuais para o padrão, consulte o valor do campo `StandardsControlsUpdatable`. Se o valor desse campo for `READY_FOR_UPDATES`, será possível começar a gerenciar controles individuais para o padrão. Caso contrário, espere até que o CSPM do Security Hub conclua as tarefas adicionais de processamento para habilitar o padrão.

**READY**  
Atualmente, o padrão está habilitado para a conta. O CSPM do Security Hub pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e que estão atualmente habilitados. O CSPM do Security Hub também pode calcular uma pontuação de segurança para o padrão.  
Se um padrão tiver esse status, será possível recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, é possível configurar, desabilitar ou reabilitar os controles. Também é possível desabilitar o padrão.

**INCOMPLETE**  
O CSPM do Security Hub não conseguiu habilitar completamente o padrão para a conta. O CSPM do Security Hub não pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e que estão atualmente habilitados. Além disso, o CSPM do Security Hub não pode calcular uma pontuação de segurança para o padrão.  
Para determinar por que o padrão não foi habilitado completamente, consulte as informações na matriz `StandardsStatusReason`. Essa matriz especifica problemas que impediram que o CSPM do Security Hub habilitasse o padrão. Se ocorrer um erro interno, tente habilitar o padrão para a conta novamente. Para outros tipos de problemas, [verifique suas AWS Config configurações](securityhub-setup-prereqs.md). Também é possível [desabilitar controles individuais](disable-controls-overview.md) que não deseja verificar ou desabilitar completamente o padrão.

**DELETING**  
No momento, o CSPM do Security Hub está processando uma solicitação para desabilitar o padrão da conta. Isso inclui desabilitar os controles que se aplicam ao padrão e remover a pontuação de segurança associada. Pode levar alguns minutos para que o CSPM do Security Hub conclua o processamento da solicitação.  
Se um padrão tiver esse status, você não poderá reabilitá-lo nem tentar desabilitá-lo novamente para a conta. O CSPM do Security Hub deve primeiro concluir o processamento da solicitação atual. Além disso, você não pode recuperar os detalhes dos controles individuais que se aplicam ao padrão nem gerenciar os controles.

**FAILED**  
O CSPM do Security Hub não conseguiu desabilitar o padrão para a conta. Um ou mais erros ocorreram quando o CSPM do Security Hub tentou desabilitar o padrão. Além disso, o CSPM do Security Hub não pode calcular uma pontuação de segurança para o padrão.  
Para determinar por que o padrão não foi desabilitado completamente, consulte as informações na matriz `StandardsStatusReason`. Essa matriz especifica problemas que impediram que o CSPM do Security Hub desabilitasse o padrão.  
Se um padrão tiver esse status, não será possível recuperar os detalhes dos controles individuais que se aplicam ao padrão ou gerenciar os controles. No entanto, é possível reabilitar o padrão para a conta. Se você resolver os problemas que impediram o CSPM do Security Hub de desabilitar o padrão, você também poderá tentar desabilitar o padrão novamente.

Se o status de um padrão for `READY`, o CSPM do Security Hub executará verificações de segurança e gerará descobertas para todos os controles que se apliquem ao padrão e que estiverem habilitados no momento. Para outros status, o CSPM do Security Hub poderá executar verificações e gerar descobertas para alguns controles habilitados, mas não para todos. A geração ou atualização das descobertas de controle pode levar até 24 horas para gerar ou atualizar descobertas de controle. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

# Análise dos detalhes de um padrão de segurança
<a name="securityhub-standards-view-controls"></a>

Depois de habilitar um padrão de segurança no AWS Security Hub CSPM, você pode usar o console para revisar os detalhes do padrão. No console , a página de detalhes de um padrão inclui as seguintes informações:
+ A pontuação de segurança atual do padrão.
+ Um tabela de controles que se aplicam ao padrão.
+ Estatísticas agregadas para controles que se aplicam ao padrão.
+ Um resumo visual do status dos controles que se aplicam ao padrão.
+ Um resumo visual das verificações de segurança dos controles que são habilitados e se aplicam ao padrão. Se você fizer a integração com AWS Organizations, os controles habilitados em pelo menos uma conta da organização serão considerados ativados.

Para revisar esses detalhes, escolha **Padrões de segurança** no painel de navegação no console. Em seguida, na seção do padrão, escolha **Exibir resultados**. Para uma análise mais profunda, é possível filtrar e classificar os dados e detalhar para analisar os detalhes dos controles individuais que se aplicam ao padrão.

**Topics**
+ [

## Entender a pontuação de segurança do padrão
](#standard-details-overview)
+ [

## Análise dos controles de um padrão
](#standard-controls-list)

## Entender a pontuação de segurança do padrão
<a name="standard-details-overview"></a>

No console CSPM do AWS Security Hub, a página de detalhes de um padrão exibe a pontuação de segurança do padrão. A pontuação é o percentual de controles aprovados na avaliação em relação ao número total de controles que se aplicam ao padrão, estão habilitados e têm dados de avaliação. Sob a pontuação há um gráfico que resume as verificações de segurança dos controles habilitados para o padrão. Isso inclui o número de verificações de segurança aprovadas e com falha. Para contas de administrador, a pontuação padrão e o gráfico refletem o status agregado da conta do administrador e de todas as contas dos membros. Para revisar as verificações de segurança com falha em controles que tenham uma gravidade específica, escolha a gravidade.

Quando você habilita um padrão, o CSPM do Security Hub gera uma pontuação de segurança preliminar para o padrão, normalmente dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de Segurança** no console do CSPM do Security Hub. As pontuações são geradas somente para padrões que são habilitado quando você visita essas páginas. Além disso, o registro AWS Config de recursos deve ser configurado para que as pontuações apareçam. Nas regiões da China AWS GovCloud (US) Regions, pode levar até 24 horas para que o Security Hub CSPM gere uma pontuação preliminar. Depois que o CSPM do Security Hub gera uma pontuação preliminar para um padrão, ele atualizará a pontuação a cada 24 horas. Para obter mais informações, consulte [Calcular pontuações de segurança](standards-security-score.md).

Todos os dados nas páginas de detalhes dos **padrões de segurança** são específicos dos atuais, a Região da AWS menos que você defina uma região de agregação. Se você definiu uma região de agregação, as pontuações de segurança se aplicam a todas as regiões e incluem descobertas em todas as regiões vinculadas. Além disso, o status de conformidade dos controles reflete as descobertas das regiões vinculadas, e o número de verificações de segurança inclui as descobertas das regiões vinculadas.

## Análise dos controles de um padrão
<a name="standard-controls-list"></a>

Ao usar o console CSPM do AWS Security Hub para revisar os detalhes de um padrão que você habilitou, você pode revisar uma tabela de controles de segurança que se aplicam ao padrão. Para cada controle, a tabela inclui as informações a seguir:
+ O título e o ID do controle.
+ O status do controle. Para obter mais informações, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).
+ A gravidade atribuída ao controle.
+ O número de verificações com falha e o número total de verificações. Se aplicável, a coluna **Verificações com falha** também lista o número de descobertas com um status **Desconhecido**.
+ Se o controle é compatível com parâmetros personalizados. Para obter mais informações, consulte [Noções básicas sobre os parâmetros de controles no CSPM do Security Hub](custom-control-parameters.md).

O CSPM do Security Hub atualiza os status de controle e a contagem de verificações de segurança a cada 24 horas. Um timestamp no alto da página indica a atualização mais recente desses dados pelo CSPM do Security Hub.

Nas contas de administrador, os status dos controles e o número de verificações de segurança são agregados em toda a conta do administrador e em todas as contas de membro. O número de controles habilitados inclui controles habilitados no padrão na conta de administrador ou em pelo menos uma conta de membro. O número de controles desabilitados inclui os controles que estão desabilitados no padrão da conta do administrador e em todas as contas de membro.

É possível filtrar essa tabela de controles que se aplicam ao padrão. Usando as opções **Filtrar por** ao lado da tabela, é possível escolher apenas os controles habilitados ou desabilitados para o padrão. Se você exibir apenas os controles habilitados, poderá filtrar ainda mais a tabela pelo status do controle. Depois disso, será possível se concentrar nos controles que tenham um status de controle específico. Além das opções **Filtrar por**, é possível inserir critérios de filtros na caixa **Filtrar controles**. Por exemplo, é possível filtrar por ID ou título do controle.

Escolha seu método de acesso preferido. Em seguida, siga as etapas para analisar os controles que se aplicam a um padrão que você habilitou.

------
#### [ Security Hub CSPM console ]

**Para analisar os controles para um padrão habilitado**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Padrões de segurança**.

1. Na seção do padrão, escolha **Exibir resultados**.

A tabela na parte inferior da página lista todos os controles que se aplicam ao padrão. É possível filtrar e classificar a tabela. Também é possível baixar a página atual da tabela como um arquivo CSV. Para fazer isso, escolha **Baixar** acima da tabela. Se você filtrar a tabela, o arquivo baixado incluirá apenas os controles que correspondam às configurações atuais do seu filtro.

------
#### [ Security Hub CSPM API ]

**Para analisar os controles para um padrão habilitado**

1. Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) da API do CSPM do Security Hub. Se você estiver usando o AWS CLI, execute o [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)comando.

   Especifique o nome do recurso da Amazon (ARN) do padrão do qual você deseja analisar os controles. ARNs Para obter os padrões, use a [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)operação ou execute o comando [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html). Se você não especificar o ARN para um padrão, o CSPM do Security Hub retornará todo o controle de segurança. IDs

1. Use a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)operação da API CSPM do Security Hub ou execute o [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)comando. Esta operação informa em quais padrões um controle está habilitado.

   Identifique o controle fornecendo o ARN ou o ID do controle de segurança. Os parâmetros de paginação são opcionais.

O exemplo a seguir diz em quais padrões o controle Config.1 está habilitado.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Desativação de padrões de segurança habilitados automaticamente
<a name="securityhub-auto-enabled-standards"></a>

Se a sua organização não usar a configuração central, ela usará um tipo de configuração denominado *configuração local*. Com a configuração local, o CSPM do AWS Security Hub habilita automaticamente os padrões de segurança padrão em novas contas de membro quando elas ingressam na sua organização. Todos os controles que se aplicam a esses padrões padrão também são habilitados automaticamente.

Atualmente, os padrões de segurança padrão são o padrão AWS Foundational Security Best Practices e o padrão Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Para obter informações sobre esses padrões, consulte [Referência de padrões para o CSPM do Security Hub](standards-reference.md).

Se você preferir habilitar manualmente os padrões de segurança para novas contas de membros, poderá desativar a habilitação automática dos padrões padrão. Você só pode fazer isso se integrar AWS Organizations e usar a configuração local. Se você usar a configuração central, poderá, em vez disso, criar uma política de configuração que habilite os padrões padrão e associar a política à raiz. Todas as contas da sua organização e OUs , em seguida, herdam essa política de configuração, a menos que estejam associadas a uma política diferente ou sejam autogerenciadas. Se você não fizer a integração com AWS Organizations, poderá desabilitar um padrão padrão ao habilitar inicialmente o Security Hub CSPM ou posterior. Para saber como, consulte [Desabilitar um padrão](disable-standards.md).

Para desativar a habilitação automática dos padrões padrão para novas contas de membro, é possível usar o console ou a API do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

Siga estas etapas para desativar a habilitação automática dos padrões padrão usando o console do CSPM do Security Hub.

**Para desativar a habilitação automática de padrões padrão**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta de administrador.

1. No painel de navegação, em **Configurações**, selecione **Configuração**.

1. Na seção **Visão geral**, selecione **Editar**.

1. Em **Novas configurações de conta**, desmarque a caixa de seleção **Habilitar os padrões de segurança padrão**.

1. Escolha **Confirmar**.

------
#### [ Security Hub CSPM API ]

Para desativar a habilitação automática dos padrões padrão de forma programática, na conta de administrador do CSPM do Security Hub, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) da API do CSPM do Security Hub. Na sua solicitação, especifique `NONE` para o parâmetro `AutoEnableStandards`. 

Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando para desativar a ativação automática dos padrões padrão. Para o parâmetro `auto-enable-standards`, especifique `NONE`. Por exemplo, o comando a seguir habilita automaticamente o CSPM do Security Hub para novas contas de membros e desativa a habilitação automática dos padrões padrão para as contas.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Desabilitar um padrão de segurança
<a name="disable-standards"></a>

Quando você desabilita um padrão de segurança no CSPM do AWS Security Hub, ocorre o seguinte:
+ Todos os controles que se aplicam ao padrão são desabilitados, a menos que estejam associados a um outro padrão que esteja habilitado no momento.
+ As verificações para os controles desabilitados não serão mais executadas, e nenhuma descoberta adicional será gerada para eles.
+ As descobertas existentes para controles desabilitados são arquivadas automaticamente dentro de, aproximadamente, 3 a 5 dias.
+ AWS Config as regras que o Security Hub CSPM criou para os controles desativados são excluídas.

A exclusão das AWS Config regras apropriadas geralmente ocorre alguns minutos após a desativação de um padrão. No entanto, isso pode levar mais tempo. Se a primeira solicitação falhar ao excluir as regras, o CSPM do Security Hub tentará novamente a cada 12 horas. Entretanto, se você desabilitou o CSPM do Security Hub ou não tem nenhum outro padrão habilitado, o CSPM do Security Hub não poderá tentar novamente, o que significa que ele não poderá excluir as regras. Se isso ocorrer e você precisar excluir as regras, entre em contato AWS Support.

**Topics**
+ [

## Desativando um padrão em várias contas e Regiões da AWS
](#disable-standards-central-configuration)
+ [

## Desativando um padrão em uma única conta e Região da AWS
](#securityhub-standard-disable-console)

## Desativando um padrão em várias contas e Regiões da AWS
<a name="disable-standards-central-configuration"></a>

Para desativar um padrão de segurança em várias contas e Regiões da AWS use a [configuração central](central-configuration-intro.md). Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que desabilitem um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (OUs) ou à raiz. Uma política de configuração afeta a região inicial, também chamada de *região de agregação*, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, é possível optar por desabilitar o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) em uma UO. Para outra UO, é possível optar por desabilitar os padrões PCI DSS e o National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Para obter informações sobre como criar uma política de configuração que habilite ou desabilite padrões individuais especificados, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**nota**  
O administrador do CSPM do Security Hub pode usar políticas de configuração para desabilitar qualquer padrão, exceto o [padrão gerenciado por serviço AWS Control Tower](service-managed-standard-aws-control-tower.md). Para desativar esse padrão, o administrador deve usar AWS Control Tower diretamente. Eles também devem ser usados AWS Control Tower para desativar ou ativar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas configurem ou desabilitem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como *contas autogerenciadas*. As contas autogerenciadas devem desabilitar padrões separadamente em cada região.

## Desativando um padrão em uma única conta e Região da AWS
<a name="securityhub-standard-disable-console"></a>

Se você não usar a configuração central ou se você tiver uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar padrões de forma centralizada em várias contas ou Regiões da AWS. Contudo, será possível desabilitar um padrão em uma única conta e região. Também é possível fazer isso usando o console do CSPM do Security Hub ou a API do CSPM do Security Hub. 

------
#### [ Security Hub CSPM console ]

Siga estas etapas para desabilitar um padrão em uma conta e região usando o console do CSPM do Security Hub.

**Para desabilitar um padrão em uma conta e região**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja desativar o padrão.

1. No painel de navegação, escolha **Padrões de segurança**.

1. Na seção do padrão que deseja desabilitar, escolha **Desabilitar padrão**.

Para desabilitar o padrão em regiões adicionais, repita as etapas anteriores para cada região adicional.

------
#### [ Security Hub CSPM API ]

Para desabilitar um padrão programaticamente em uma única conta e região, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html). Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)comando.

Em sua solicitação, use o parâmetro `StandardsSubscriptionArns` para especificar o nome do recurso da Amazon (ARN) do padrão que você deseja desabilitar. Se você estiver usando o AWS CLI, use o `standards-subscription-arns` parâmetro para especificar o ARN. Especifique também a região à qual a sua solicitação se aplica. Por exemplo, o comando a seguir desativa o padrão AWS Foundational Security Best Practices (FSBP) para uma conta (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

Onde *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* está o ARN do padrão FSBP para a conta na região Leste dos EUA (Norte da Virgínia) e *us-east-1* a região na qual desativá-la.

Para obter o ARN de um padrão, é possível usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html). Essa operação recupera informações sobre os padrões atualmente habilitados em sua conta. Se você estiver usando o AWS CLI, você pode executar o [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para recuperar essas informações.

------

Depois de desabilitar um padrão, o CSPM do Security Hub começará a executar tarefas para desabilitar o padrão na conta e na região especificada. Isso inclui desabilitar todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, é possível [verificar o status do padrão](enable-standards.md#standard-subscription-status) para a conta e a região.