本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# CIS AWS 基准测试 v1.2.0
<a name="CIS-1-2"></a>





AWS Audit Manager *提供了两个支持互联网安全中心 (CIS) Amazon Web Services (AWS) Benchmark v1.2.0 的预建框架。*

**注意**  
有关支持 v1.3.0 的 Audit Manager 框架的信息，请参阅 [CIS AWS 基准测试 v1.3.0](CIS-1-3.md)。
有关支持 v1.4.0 的 Audit Manager 框架的信息，请参阅 [CIS AWS 基准测试 v1.4.0](CIS-1-4.md)。

**Topics**
+ [什么是 CIS？](#what-is-CIS-1-2)
+ [使用此框架](#framework-CIS-1-2)
+ [后续步骤](#next-steps-CIS-1-2)
+ [其他资源](#resources-CIS-1-2)

## 什么是 CIS？
<a name="what-is-CIS-1-2"></a>

CIS是一家非营利组织，开发了[独联体 AWS 基金会基准](https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)。该基准测试可作为一组安全配置最佳实践 AWS。这些业界认可的最佳实践超越了现有的高级安全指南，因为它们为您提供了清晰的 step-by-step实施和评估程序。

有关更多信息，请参阅*AWS 安全博客上的 [CIS AWS 基金会基准测试博](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/)客文章*。

**CIS 基准测试和 CIS 控件之间的区别**  
*CIS 基准测试* 是针对供应商产品的最佳安全实践指南。从操作系统到云服务和网络设备，基准测试中的设置可以保护您的组织使用的特定系统。*CIS 控件*是组织级系统的基本最佳实践指南，可帮助抵御已知的网络攻击媒介。

**示例**
+ CIS 基准为规范性。它们通常引用可在供应商产品中查看和设置的具体设定。

  **示例：**CIS AWS Benchmark v1.2.0-确保已为 “root 用户” 账户启用 MFA。

  该建议提供了有关如何检查这一点以及如何在 AWS 环境的根账户上进行此设置的规范性指导。
+ CIS 控件适用于您的整个组织。它们并不只针对单独的供应商产品。

  **示例：**CIS v7.1 - 对所有管理访问权限使用多因素身份验证

  此控件描述了预计应用于您组织的内容。它没有描述您应该如何将其应用于正在运行的系统和工作负载（无论在何处）。

## 使用此框架
<a name="framework-CIS-1-2"></a>

您可以使用中的 CIS AWS 基准 v1.2 框架 AWS Audit Manager 来帮助您为 CIS 审计做准备。您还可以根据具体要求，自定义这些框架及其控件，以支持内部审计。

以该框架作为起点，您可以创建 Audit Manager 评测并开始收集与您的审计相关的证据。创建评估后，Audit Manager 会开始评估您的 AWS 资源。它基于 CIS 框架中定义的控件执行此操作。当需要进行审计时，您或您选择的委托人可以查看 Audit Manager 收集的证据。或者，您可浏览评测的证据文件夹，然后选择要将哪些证据纳入评测报告。或者，如果启用了证据查找器，则可以搜索特定证据并将其以 CSV 格式导出，或根据搜索结果创建评测报告。无论采用哪种方式，此评测报告可帮助您证明您的控件是否按预期运行。

框架详细信息如下：


| 中的框架名称 AWS Audit Manager | 自动控件数量 | 手动控件数量 | 控件集数量 | 
| --- | --- | --- | --- | 
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0 Level 1 | 33 | 3 | 4 | 
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0 Level 1 和 2 | 45 | 4 | 4 | 

**重要**  
要确保这些框架从中收集预期的证据 AWS Security Hub CSPM，请确保在 Security Hub CSPM 中启用了所有标准。  
为确保这些框架从 AWS Config中收集预期的证据，请确保启用必要的 AWS Config 规则。要查看用作这些标准框架的数据源映射的 AWS Config 规则列表，请下载以下文件：  
[AuditManager\$1 ConfigDataSourceMappings \$1cis-aws-benchmark-v1.2.0，-Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.2.0,-Level-1.zip)
[AuditManager\$1 ConfigDataSourceMappings \$1cis-aws-benchmark-v1.2.0，-Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.2.0,-Level-1-and-2.zip)

这些框架中的控制措施并不是为了验证您的系统是否符合 CIS AWS Benchmark 最佳实践。此外，他们无法保证您会通过 CIS 审计。 AWS Audit Manager 不会自动检查需要手动收集证据的程序控制。

### 使用这些框架的先决条件
<a name="framework-CIS-1-2-prerequisites"></a>

CIS AWS 基准 v1.2 框架中的许多控件都 AWS Config 用作数据源类型。要支持这些控制，您必须在[启用](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)了 Au AWS Config dit Manager AWS 区域 的每个账户中启用所有帐户。您还必须确保启用了特定 AWS Config 规则，并且这些规则配置正确。

收集正确证据并获取 CIS AWS 基金会基准 v1.2 的准确合规状态需要以下 AWS Config 规则和参数。有关如何启用或配置规则的说明，请参阅[使用 AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/managing-aws-managed-rules.html)。


| 必填 AWS Config 规则 | 必填参数 | 
| --- | --- | 
| [ACCESS\$1KEYS\$1ROTATED](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [CLOUD\$1TRAIL\$1CLOUD\$1WATCH\$1LOGS\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | 不适用 | 
| [CLOUD\$1TRAIL\$1ENCRYPTION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | 不适用 | 
| [CLOUD\$1TRAIL\$1LOG\$1FILE\$1VALIDATION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | 不适用 | 
| [CMK\$1BACKING\$1KEY\$1ROTATION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html) | 不适用 | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
|  [IAM\$1POLICY\$1IN\$1USE](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1POLICY\$1NO\$1STATEMENTS\$1WITH\$1ADMIN\$1ACCESS](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | 不适用 | 
| [IAM\$1ROOT\$1ACCESS\$1KEY\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | 不适用 | 
| [IAM\$1USER\$1NO\$1POLICIES\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | 不适用 | 
| [IAM\$1USER\$1UNUSED\$1CREDENTIALS\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [INCOMING\$1SSH\$1DISABLED](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | 不适用 | 
| [MFA\$1ENABLED\$1FOR\$1IAM\$1CONSOLE\$1ACCESS](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | 不适用 | 
| [MULTI\$1REGION\$1CLOUD\$1TRAIL\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | 不适用 | 
| [RESTRICTED\$1INCOMING\$1TRAFFIC](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [ROOT\$1ACCOUNT\$1HARDWARE\$1MFA\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | 不适用 | 
| [ROOT\$1ACCOUNT\$1MFA\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | 不适用 | 
| [S3\$1BUCKET\$1LOGGING\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [S3\$1BUCKET\$1PUBLIC\$1READ\$1PROHIBITED](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | 不适用 | 
| [VPC\$1DEFAULT\$1SECURITY\$1GROUP\$1CLOSED](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | 不适用 | 
| [VPC\$1FLOW\$1LOGS\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/CIS-1-2.html)  | 

## 后续步骤
<a name="next-steps-CIS-1-2"></a>

有关如何查看关于这些框架的详细信息（包括其包含的标准控件列表）的说明，请参阅[在中查看框架 AWS Audit Manager](review-frameworks.md)。

有关如何使用这些框架创建评测的说明，请参阅 [在中创建评估 AWS Audit Manager](create-assessments.md)。

有关如何自定义这些框架来支持您的特定要求的说明，请参阅[在中制作现有框架的可编辑副本 AWS Audit Manager](create-custom-frameworks-from-existing.md)。

## 其他资源
<a name="resources-CIS-1-2"></a>
+ [独联体 AWS 基金会基准测试 v1.2.0](https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)
+ *AWS 安全博客*中的[CIS AWS Foundations Benchmark 博文](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/)