本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
PCI DSS 4.0 操作最佳实践(包括全局资源类型)
合规包提供了一个通用合规框架,旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板,合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。
下面提供支付卡行业数据安全标准(PCI DSS)4.0(不包括全局资源类型)和 AWS 托管 Config 规则之间的映射示例。每条 AWS Config 规则都适用于特定的 AWS 资源,并与一个或多个 PCI DSS 控制有关。一个 PCI DSS 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
| 控制 ID | 控制描述 | AWS Config 规则 | 指南 |
|---|---|---|---|
| 1.2.5 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配使用最低安全策略和 TLSv1.2 或更高版本的密码套件来连接查看者。如果 CloudFront 分配的 minimumProtocolVersion 低于 TLSv1.2_2018,则此规则为 NON_COMPLIANT。 | |
| 1.2.5 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配使用自定义 SSL 证书,并配置为使用 SNI 来处理 HTTPS 请求。如果关联了自定义 SSL 证书,但 SSL 支持方法是专用 IP 地址,则此规则为 NON_COMPLIANT。 | |
| 1.2.5 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保使用 AWS Transfer Family 创建的服务器不使用 FTP 进行端点连接。如果端点连接的服务器协议启用 FTP,则此规则为 NON_COMPLIANT。 | |
| 1.2.5 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 CloudFront 分配未使用已弃用的 SSL 协议在 CloudFront 边缘站点和自定义源之间进行 HTTPS 通信。如果 CloudFront 分配的任何“OriginSslProtocols”包含“SSLv3”,则此规则为 NON_COMPLIANT。 | |
| 1.2.5 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配正在加密流向自定义源的流量。如果“OriginProtocolPolicy”为“http-only”或“OriginProtocolPolicy”为“match-viewer”且“ViewerProtocolPolicy”为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 1.2.5 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保您的 Amazon CloudFront 分配使用 HTTPS(直接或通过重定向)。如果针对 DefaultCacheBehavior 或 CacheBehaviors 将 ViewerProtocolPolicy 的值设置为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon API Gateway API 属于规则参数“endpointConfigurationType”中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配,则规则返回 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配与 Web 应用程序防火墙(WAF)或 WAFv2 网络访问控制列表(ACL)关联。如果 CloudFront 分配未与 WAF Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对分段数据包配置了用户定义的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon Elastic Compute Cloud(Amazon EC2)Transit Gateway 没有启用“AutoAcceptSharedAttachments”。如果 Transit Gateway 的“AutoAcceptSharedAttachments”设置为“enable”,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)端点不可公开访问。如果终端节点可公开访问,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(INCOMING_SSH_DISABLED)和规则名称(restricted-ssh)是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限(CIDR 而不是 0.0.0.0/0 或 ::/0),则此规则为 COMPLIANT。否则,将为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 AWS AppSync API 与 AWS WAFv2 Web 访问控制列表(ACL)关联。如果 AWS AppSync API 未与 Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息,则此规则为 NON_COMPLIANT;如果不包含任何登录信息,则此规则为 COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保网络访问控制列表(NACL)的 SSH/RDP 入口流量的默认端口不受限制。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 AWS Client VPN 授权规则不授权所有客户端进行连接访问。如果“AccessAll”存在且设置为 true,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保互联网网关连接到授权的虚拟私有云(Amazon VPC)。如果互联网网关连接到未经授权的 VPC,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| 1.2.8 | 配置和维护网络安全控制(NSC)。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon API Gateway API 属于规则参数“endpointConfigurationType”中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配,则规则返回 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配与 Web 应用程序防火墙(WAF)或 WAFv2 网络访问控制列表(ACL)关联。如果 CloudFront 分配未与 WAF Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对分段数据包配置了用户定义的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon Redshift 集群启用了“enhancedVpcRouting”。如果未启用“enhancedVpcRouting”或者 configuration.enhancedVpcRouting 字段为“false”,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon Elastic Compute Cloud(Amazon EC2)Transit Gateway 没有启用“AutoAcceptSharedAttachments”。如果 Transit Gateway 的“AutoAcceptSharedAttachments”设置为“enable”,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)端点不可公开访问。如果终端节点可公开访问,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(INCOMING_SSH_DISABLED)和规则名称(restricted-ssh)是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限(CIDR 而不是 0.0.0.0/0 或 ::/0),则此规则为 COMPLIANT。否则,将为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS AppSync API 与 AWS WAFv2 Web 访问控制列表(ACL)关联。如果 AWS AppSync API 未与 Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息,则此规则为 NON_COMPLIANT;如果不包含任何登录信息,则此规则为 COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保网络访问控制列表(NACL)的 SSH/RDP 入口流量的默认端口不受限制。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS Client VPN 授权规则不授权所有客户端进行连接访问。如果“AccessAll”存在且设置为 true,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保互联网网关连接到授权的虚拟私有云(Amazon VPC)。如果互联网网关连接到未经授权的 VPC,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| 1.3.1 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon API Gateway API 属于规则参数“endpointConfigurationType”中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配,则规则返回 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配与 Web 应用程序防火墙(WAF)或 WAFv2 网络访问控制列表(ACL)关联。如果 CloudFront 分配未与 WAF Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对分段数据包配置了用户定义的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon Redshift 集群启用了“enhancedVpcRouting”。如果未启用“enhancedVpcRouting”或者 configuration.enhancedVpcRouting 字段为“false”,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon Elastic Compute Cloud(Amazon EC2)Transit Gateway 没有启用“AutoAcceptSharedAttachments”。如果 Transit Gateway 的“AutoAcceptSharedAttachments”设置为“enable”,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)端点不可公开访问。如果终端节点可公开访问,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(INCOMING_SSH_DISABLED)和规则名称(restricted-ssh)是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限(CIDR 而不是 0.0.0.0/0 或 ::/0),则此规则为 COMPLIANT。否则,将为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS AppSync API 与 AWS WAFv2 Web 访问控制列表(ACL)关联。如果 AWS AppSync API 未与 Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息,则此规则为 NON_COMPLIANT;如果不包含任何登录信息,则此规则为 COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保网络访问控制列表(NACL)的 SSH/RDP 入口流量的默认端口不受限制。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 AWS Client VPN 授权规则不授权所有客户端进行连接访问。如果“AccessAll”存在且设置为 true,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保互联网网关连接到授权的虚拟私有云(Amazon VPC)。如果互联网网关连接到未经授权的 VPC,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| 1.3.2 | 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| 1.4.1 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon API Gateway API 属于规则参数“endpointConfigurationType”中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配,则规则返回 NON_COMPLIANT。 | |
| 1.4.1 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon Redshift 集群启用了“enhancedVpcRouting”。如果未启用“enhancedVpcRouting”或者 configuration.enhancedVpcRouting 字段为“false”,则此规则为 NON_COMPLIANT。 | |
| 1.4.1 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保互联网网关连接到授权的虚拟私有云(Amazon VPC)。如果互联网网关连接到未经授权的 VPC,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon API Gateway API 属于规则参数“endpointConfigurationType”中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配,则规则返回 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配与 Web 应用程序防火墙(WAF)或 WAFv2 网络访问控制列表(ACL)关联。如果 CloudFront 分配未与 WAF Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对分段数据包配置了用户定义的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon Redshift 集群启用了“enhancedVpcRouting”。如果未启用“enhancedVpcRouting”或者 configuration.enhancedVpcRouting 字段为“false”,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon Elastic Compute Cloud(Amazon EC2)Transit Gateway 没有启用“AutoAcceptSharedAttachments”。如果 Transit Gateway 的“AutoAcceptSharedAttachments”设置为“enable”,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)端点不可公开访问。如果终端节点可公开访问,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(INCOMING_SSH_DISABLED)和规则名称(restricted-ssh)是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限(CIDR 而不是 0.0.0.0/0 或 ::/0),则此规则为 COMPLIANT。否则,将为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 AWS AppSync API 与 AWS WAFv2 Web 访问控制列表(ACL)关联。如果 AWS AppSync API 未与 Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息,则此规则为 NON_COMPLIANT;如果不包含任何登录信息,则此规则为 COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保网络访问控制列表(NACL)的 SSH/RDP 入口流量的默认端口不受限制。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 AWS Client VPN 授权规则不授权所有客户端进行连接访问。如果“AccessAll”存在且设置为 true,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保互联网网关连接到授权的虚拟私有云(Amazon VPC)。如果互联网网关连接到未经授权的 VPC,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| 1.4.2 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| 1.4.3 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对分段数据包配置了用户定义的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配,则此规则为 NON_COMPLIANT。 | |
| 1.4.3 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对分段数据包配置了用户定义的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配,则此规则为 NON_COMPLIANT。 | |
| 1.4.3 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对完整数据包配置了用户定义的默认无状态操作。如果针对完整数据包的默认无状态操作与用户定义的默认无状态操作不匹配,则此规则为 NON_COMPLIANT。 | |
| 1.4.4 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon API Gateway API 属于规则参数“endpointConfigurationType”中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配,则规则返回 NON_COMPLIANT。 | |
| 1.4.4 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon Redshift 集群启用了“enhancedVpcRouting”。如果未启用“enhancedVpcRouting”或者 configuration.enhancedVpcRouting 字段为“false”,则此规则为 NON_COMPLIANT。 | |
| 1.4.4 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保互联网网关连接到授权的虚拟私有云(Amazon VPC)。如果互联网网关连接到未经授权的 VPC,则此规则为 NON_COMPLIANT。 | |
| 1.4.5 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 ECSTaskDefinitions 配置为与其 Amazon Elastic Container Service(Amazon ECS)容器共享主机的进程命名空间。如果 pidMode 参数设置为“host”,则此规则为 NON_COMPLIANT。 | |
| 1.4.5 | 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0) | 确保 Amazon EC2 启动模板没有设置为向网络接口分配公有 IP 地址。如果 EC2 启动模板的默认版本中至少有 1 个网络接口的“AssociatePublicipAddress”设置为“true”,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 Amazon API Gateway API 属于规则参数“endpointConfigurationType”中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配,则规则返回 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配与 Web 应用程序防火墙(WAF)或 WAFv2 网络访问控制列表(ACL)关联。如果 CloudFront 分配未与 WAF Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对分段数据包配置了用户定义的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 Amazon Elastic Compute Cloud(Amazon EC2)Transit Gateway 没有启用“AutoAcceptSharedAttachments”。如果 Transit Gateway 的“AutoAcceptSharedAttachments”设置为“enable”,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)端点不可公开访问。如果终端节点可公开访问,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(INCOMING_SSH_DISABLED)和规则名称(restricted-ssh)是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限(CIDR 而不是 0.0.0.0/0 或 ::/0),则此规则为 COMPLIANT。否则,将为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 AWS AppSync API 与 AWS WAFv2 Web 访问控制列表(ACL)关联。如果 AWS AppSync API 未与 Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息,则此规则为 NON_COMPLIANT;如果不包含任何登录信息,则此规则为 COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保网络访问控制列表(NACL)的 SSH/RDP 入口流量的默认端口不受限制。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 AWS Client VPN 授权规则不授权所有客户端进行连接访问。如果“AccessAll”存在且设置为 true,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保互联网网关连接到授权的虚拟私有云(Amazon VPC)。如果互联网网关连接到未经授权的 VPC,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| 1.5.1 | 可以同时连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险得到缓解。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.1 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.3 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.4 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.5 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.6 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.1.7 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.2.2 | 实施审计日志,以支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.3.1 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.3.2 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保至少有一个 AWS CloudTrail 跟踪使用安全最佳实践定义。如果至少有一个跟踪满足以下所有条件,则此规则为 COMPLIANT: | |
| 10.3.2 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Neptune 手动数据库集群快照不是公开快照。如果任何现有和新的 Neptune 集群快照是公有的,则此规则为 NON_COMPLIANT。 | |
| 10.3.2 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| 10.3.2 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 10.3.2 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| 10.3.2 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| 10.3.2 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| 10.3.2 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Aurora 数据库集群受备份计划的保护。如果 Amazon Relational Database Service(Amazon RDS)数据库集群未受备份计划保护,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 RDS 数据库实例已启用备份。(可选)此规则将检查备份保留期和备份时段。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 AWS 备份计划中有 Amazon DynamoDB 表。如果任何 AWS 备份计划中都没有 Amazon DynamoDB 表,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon DynamoDB 表受备份计划的保护。如果 DynamoDB 表不在备份计划范围内,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Elastic Block Store(Amazon EBS)卷已添加到 AWS Backup 的备份计划中。如果备份计划中未包含 Amazon EBS 卷,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Elastic Block Store(Amazon EBS)卷受备份计划的保护。如果备份计划不涵盖 Amazon EBS 卷,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Elastic Compute Cloud(Amazon EC2)实例受备份计划的保护。如果备份计划不涵盖 Amazon EC2 实例,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Elastic File System(Amazon EFS)文件系统添加到 AWS Backup 的备份计划中。如果备份计划中不包括 EFS 文件系统,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Elastic File System(Amazon EFS)文件系统受备份计划的保护。如果 EFS 文件系统不在备份计划范围内,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 检查 Amazon ElastiCache Redis 集群是否已启用自动备份。如果 Redis 集群的 SnapshotRetentionLimit 小于 SnapshotRetentionPeriod 参数,则该规则为 NON_COMPLIANT。例如:如果参数为 15,则当 snapshotRetentionPeriod 介于 0 至 15 之间时,则不符合该规则。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon FSx 文件系统受备份计划的保护。如果备份计划不涵盖 Amazon FSx 文件系统,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Neptune 数据库集群的留存期设置为特定天数。如果保留期小于参数指定的值,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 AWS Backup 计划中涵盖 Amazon Relational Database Service(Amazon RDS)数据库。如果任何 AWS 备份计划中均不包含 Amazon RDS 数据库,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例受备份计划的保护。如果备份计划不涵盖 Amazon RDS 数据库实例,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保集群启用了 Amazon Redshift 自动快照。如果 automatedSnapshotRetentionPeriod 的值大于 MaxRetentionPeriod 或小于 MinRetentionPeriod,或者值为 0,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶受备份计划的保护。如果备份计划不涵盖 Amazon S3 存储桶,则此规则为 NON_COMPLIANT。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保至少有一个 AWS CloudTrail 跟踪使用安全最佳实践定义。如果至少有一个跟踪满足以下所有条件,则此规则为 COMPLIANT: | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保 RDS 数据库实例已启用备份。(可选)此规则将检查备份保留期和备份时段。 | |
| 10.3.3 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保为 Amazon DynamoDB 表启用了时间点故障恢复(PITR)。如果 DynamoDB 表未启用 PITR,则此规则为 NON_COMPLIANT。 | |
| 10.3.4 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保采用 Amazon S3 源类型的 CloudFront 分配配置了来源访问身份(OAI)。如果 CloudFront 分配由 S3 支持,并且任何源类型未配置 OAI,或者源不是 S3 存储桶,则此规则为 NON_COMPLIANT。 | |
| 10.3.4 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保具有 Amazon Simple Storage Service(Amazon S3)来源类型的 Amazon CloudFront 分配启用了来源访问控制(OAC)。对于源自 Amazon S3 但未启用 OAC 的 CloudFront 分配,此规则为 NON_COMPLIANT。 | |
| 10.3.4 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保默认情况下 S3 存储桶启用了锁定。如果锁定未启用,则规则为 NON_COMPLIANT。 | |
| 10.3.4 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保已针对您的 S3 存储桶启用版本控制。(可选)该规则检查是否为您的 S3 存储桶启用了 MFA 删除。 | |
| 10.3.4 | 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0) | 确保至少有一个 AWS CloudTrail 跟踪使用安全最佳实践定义。如果至少有一个跟踪满足以下所有条件,则此规则为 COMPLIANT: | |
| 10.4.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.4.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| 10.4.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| 10.4.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| 10.4.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 10.4.1.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.4.1.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| 10.4.1.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.1.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.1.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.1.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| 10.4.1.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| 10.4.1.1 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 10.4.2 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.4.2 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| 10.4.2 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.2 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.2 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.4.2 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| 10.4.2 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| 10.4.2 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 10.4.3 | 审核审计日志以识别异常或可疑活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.5.1 | 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0) | 确保至少有一个 AWS CloudTrail 跟踪使用安全最佳实践定义。如果至少有一个跟踪满足以下所有条件,则此规则为 COMPLIANT: | |
| 10.5.1 | 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0) | 确保 EBS 卷附加到 EC2 实例。(可选)确保 EBS 卷已标记为在实例终止时删除。 | |
| 10.5.1 | 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0) | 确保私有 Amazon Elastic Container Registry(ECR)存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略,则此规则为 NON_COMPLIANT。 | |
| 10.5.1 | 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0) | 确保为 Amazon DynamoDB 表启用了时间点故障恢复(PITR)。如果 DynamoDB 表未启用 PITR,则此规则为 NON_COMPLIANT。 | |
| 10.5.1 | 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0) | 确保 Amazon CloudWatch 日志组保留期设置为大于 365 天或指定的保留期。如果保留期小于 MinRetentionTime 或者 365 天(如果指定此天数),则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 10.6.3 | 时间同步机制支持在所有系统中设置一致的时间。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知,则此规则为 NON_COMPLIANT。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| 10.7.1 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知,则此规则为 NON_COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| 10.7.2 | 检测、报告和及时响应关键安全控制系统的故障。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 11.5.2 | 检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知,则此规则为 NON_COMPLIANT。 | |
| 11.5.2 | 检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 11.5.2 | 检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 11.5.2 | 检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0) | 确保拥有指定指标名称的 CloudWatch 警报具有指定设置。 | |
| 11.5.2 | 检测和响应网络入侵和意外文件更改。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 11.6.1 | 检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知,则此规则为 NON_COMPLIANT。 | |
| 11.6.1 | 检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 11.6.1 | 检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 11.6.1 | 检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0) | 确保拥有指定指标名称的 CloudWatch 警报具有指定设置。 | |
| 11.6.1 | 检测和响应付款页面上未经授权的更改。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 12.10.5 | 立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知,则此规则为 NON_COMPLIANT。 | |
| 12.10.5 | 立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 12.10.5 | 立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| 12.10.5 | 立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0) | 确保拥有指定指标名称的 CloudWatch 警报具有指定设置。 | |
| 12.10.5 | 立即响应可能影响 CDE 的可疑和已确认的安全事件。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| 12.4.2.1 | PCI DSS 合规性受到管理。(PCI-DSS-v4.0) | 在启用与 AWS Organizations 的集成后,确保 AWS Service Catalog 与组织共享组合(一组被视为单个单元的 AWS 账户)。如果共享的“Type”值为“ACCOUNT”,则此规则为 NON_COMPLIANT。 | |
| 2.2.5 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配使用最低安全策略和 TLSv1.2 或更高版本的密码套件来连接查看者。如果 CloudFront 分配的 minimumProtocolVersion 低于 TLSv1.2_2018,则此规则为 NON_COMPLIANT。 | |
| 2.2.5 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配使用自定义 SSL 证书,并配置为使用 SNI 来处理 HTTPS 请求。如果关联了自定义 SSL 证书,但 SSL 支持方法是专用 IP 地址,则此规则为 NON_COMPLIANT。 | |
| 2.2.5 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保使用 AWS Transfer Family 创建的服务器不使用 FTP 进行端点连接。如果端点连接的服务器协议启用 FTP,则此规则为 NON_COMPLIANT。 | |
| 2.2.5 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保 CloudFront 分配未使用已弃用的 SSL 协议在 CloudFront 边缘站点和自定义源之间进行 HTTPS 通信。如果 CloudFront 分配的任何“OriginSslProtocols”包含“SSLv3”,则此规则为 NON_COMPLIANT。 | |
| 2.2.5 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配正在加密流向自定义源的流量。如果“OriginProtocolPolicy”为“http-only”或“OriginProtocolPolicy”为“match-viewer”且“ViewerProtocolPolicy”为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 2.2.5 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保您的 Amazon CloudFront 分配使用 HTTPS(直接或通过重定向)。如果针对 DefaultCacheBehavior 或 CacheBehaviors 将 ViewerProtocolPolicy 的值设置为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 2.2.7 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保适用于 Redis 数据存储的 AWS Database Migration Service(AWS DMS)端点已启用 TLS/SSL 加密功能,以加密与其他端点通信时的相关数据。如果未启用 TLS/SSL 加密,则此规则为 NON_COMPLIANT。 | |
| 2.2.7 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保 CloudFront 分配未使用已弃用的 SSL 协议在 CloudFront 边缘站点和自定义源之间进行 HTTPS 通信。如果 CloudFront 分配的任何“OriginSslProtocols”包含“SSLv3”,则此规则为 NON_COMPLIANT。 | |
| 2.2.7 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配正在加密流向自定义源的流量。如果“OriginProtocolPolicy”为“http-only”或“OriginProtocolPolicy”为“match-viewer”且“ViewerProtocolPolicy”为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 2.2.7 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保您的 Amazon CloudFront 分配使用 HTTPS(直接或通过重定向)。如果针对 DefaultCacheBehavior 或 CacheBehaviors 将 ViewerProtocolPolicy 的值设置为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 2.2.7 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 2.2.7 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保您的 Amazon DynamoDB Accelerator(DAX)集群将 ClusterEndpointEncryptionType 设置为 TLS。如果 DAX 集群未通过传输层安全性协议(TLS)加密,则此规则为 NON_COMPLIANT。 | |
| 2.2.7 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保 Amazon MSK 集群使用 HTTPS(TLS)对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信,则此规则为 NON_COMPLIANT。 | |
| 2.2.7 | 系统组件得到安全地配置和管理。(PCI-DSS-v4.0) | 确保 AWS Database Migration Service(AWS DMS)端点配置了 SSL 连接。如果 AWS DMS 未配置 SSL 连接,则此规则为 NON_COMPLIANT。 | |
| 3.2.1 | 账户数据的存储量保持在最低限度。(PCI-DSS-v4.0) | 确保 EBS 卷附加到 EC2 实例。(可选)确保 EBS 卷已标记为在实例终止时删除。 | |
| 3.2.1 | 账户数据的存储量保持在最低限度。(PCI-DSS-v4.0) | 确保私有 Amazon Elastic Container Registry(ECR)存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略,则此规则为 NON_COMPLIANT。 | |
| 3.2.1 | 账户数据的存储量保持在最低限度。(PCI-DSS-v4.0) | 确保为 Amazon DynamoDB 表启用了时间点故障恢复(PITR)。如果 DynamoDB 表未启用 PITR,则此规则为 NON_COMPLIANT。 | |
| 3.2.1 | 账户数据的存储量保持在最低限度。(PCI-DSS-v4.0) | 确保 Amazon CloudWatch 日志组保留期设置为大于 365 天或指定的保留期。如果保留期小于 MinRetentionTime 或者 365 天(如果指定此天数),则此规则为 NON_COMPLIANT。 | |
| 3.3.1.1 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保 EBS 卷附加到 EC2 实例。(可选)确保 EBS 卷已标记为在实例终止时删除。 | |
| 3.3.1.1 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保私有 Amazon Elastic Container Registry(ECR)存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略,则此规则为 NON_COMPLIANT。 | |
| 3.3.1.1 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保为 Amazon DynamoDB 表启用了时间点故障恢复(PITR)。如果 DynamoDB 表未启用 PITR,则此规则为 NON_COMPLIANT。 | |
| 3.3.1.1 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保 Amazon CloudWatch 日志组保留期设置为大于 365 天或指定的保留期。如果保留期小于 MinRetentionTime 或者 365 天(如果指定此天数),则此规则为 NON_COMPLIANT。 | |
| 3.3.1.3 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保 EBS 卷附加到 EC2 实例。(可选)确保 EBS 卷已标记为在实例终止时删除。 | |
| 3.3.1.3 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保私有 Amazon Elastic Container Registry(ECR)存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略,则此规则为 NON_COMPLIANT。 | |
| 3.3.1.3 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保为 Amazon DynamoDB 表启用了时间点故障恢复(PITR)。如果 DynamoDB 表未启用 PITR,则此规则为 NON_COMPLIANT。 | |
| 3.3.1.3 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保 Amazon CloudWatch 日志组保留期设置为大于 365 天或指定的保留期。如果保留期小于 MinRetentionTime 或者 365 天(如果指定此天数),则此规则为 NON_COMPLIANT。 | |
| 3.3.2 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保 EBS 卷附加到 EC2 实例。(可选)确保 EBS 卷已标记为在实例终止时删除。 | |
| 3.3.2 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保私有 Amazon Elastic Container Registry(ECR)存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略,则此规则为 NON_COMPLIANT。 | |
| 3.3.2 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保为 Amazon DynamoDB 表启用了时间点故障恢复(PITR)。如果 DynamoDB 表未启用 PITR,则此规则为 NON_COMPLIANT。 | |
| 3.3.2 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保 Amazon CloudWatch 日志组保留期设置为大于 365 天或指定的保留期。如果保留期小于 MinRetentionTime 或者 365 天(如果指定此天数),则此规则为 NON_COMPLIANT。 | |
| 3.3.3 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保 EBS 卷附加到 EC2 实例。(可选)确保 EBS 卷已标记为在实例终止时删除。 | |
| 3.3.3 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保私有 Amazon Elastic Container Registry(ECR)存储库配置了至少一项生命周期策略。如果没有为 ECR 私有存储库配置生命周期策略,则此规则为 NON_COMPLIANT。 | |
| 3.3.3 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保为 Amazon DynamoDB 表启用了时间点故障恢复(PITR)。如果 DynamoDB 表未启用 PITR,则此规则为 NON_COMPLIANT。 | |
| 3.3.3 | 授权后不存储敏感身份验证数据(SAD)。(PCI-DSS-v4.0) | 确保 Amazon CloudWatch 日志组保留期设置为大于 365 天或指定的保留期。如果保留期小于 MinRetentionTime 或者 365 天(如果指定此天数),则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon Athena 工作组已启用静态加密。如果未为 Athena 工作组启用静态数据加密,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon Neptune 数据库集群已加密快照。如果 Neptune 集群没有加密快照,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon Redshift 集群使用指定的 AWS Key Management Service(AWS KMS)密钥进行加密。如果启用了加密并且集群是使用 kmsKeyArn 参数中提供的密钥进行加密的,则此规则为 COMPLIANT。如果集群未加密,或者是使用其他密钥加密的,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 AWS CodeBuild 项目为其所有构件启用了加密。如果任何主要或次要(如果存在)构件配置的“encryptionDisabled”设置为“true”,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保配置了 Amazon S3 日志的 AWS CodeBuild 项目为其日志启用了加密。如果在 CodeBuild 项目的 S3LogsConfig 中将“encryptionDisabled”设置为“true”,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon DynamoDB Accelerator(DAX)集群已加密。如果 DAX 集群未加密,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service 集群配置为使用 AWS Key Management Service(KMS)密钥加密 Kubernetes 机密。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon API Gateway 阶段中的所有方法都启用了缓存并对缓存进行了加密。如果 Amazon API Gateway 阶段中的任何方法未配置为缓存或者缓存未加密,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保您的 Amazon DocumentDB(兼容 MongoDB)集群启用了存储加密。如果未启用存储加密,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon DynamoDB 表使用 AWS Key Management Service(KMS)加密。如果 Amazon DynamoDB 表未使用 AWS KMS 加密,则此规则为 NON_COMPLIANT。如果 kmsKeyArns 输入参数中不存在加密的 AWS KMS 密钥,则此规则也是 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon DynamoDB 表已加密并检查其状态。如果状态为已启用或正在启用,则此规则为 COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保项目不包含环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。如果项目环境变量包含明文凭证,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon EKS 集群未配置为使用 AWS KMS 加密 Kubernetes 机密。如果 EKS 集群没有 encryptionConfig 资源或 encryptionConfig 没有将机密用作资源,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon Kinesis 流使用服务器端加密进行静态加密。如果 Kinesis 流不存在“StreamenCryption”,则此规则为 NON_COMPLIANT。 | |
| 3.5.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保您的 Amazon Neptune 数据库集群启用了存储加密。如果未启用存储加密,则此规则为 NON_COMPLIANT。 | |
| 3.5.1.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.5.1.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.5.1.1 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon Neptune 手动数据库集群快照不是公开快照。如果任何现有和新的 Neptune 集群快照是公有的,则此规则为 NON_COMPLIANT。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| 3.5.1.3 | 无论主账号(PAN)存储在何处,都受到保护。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用,则此规则为 NON_COMPLIANT。 | |
| 3.6.1 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.6.1 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.6.1 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.6.1.2 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.6.1.2 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.6.1.2 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.6.1.3 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.6.1.3 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.6.1.3 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.6.1.4 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.6.1.4 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.6.1.4 | 用于保护存储的账户数据的加密密钥受到保护。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.7.1 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保由 AWS Certificate Manager(ACM)管理的 RSA 证书的密钥长度至少为 2048 位。如果最短密钥长度小于 2048 位,则此规则为 NON_COMPLIANT。 | |
| 3.7.1 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.7.1 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.7.1 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.7.2 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.7.2 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.7.2 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.7.4 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.7.4 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.7.4 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.7.6 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.7.6 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.7.6 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 3.7.7 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 3.7.7 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 3.7.7 | 在使用加密技术来保护存储的账户数据时,定义并实施涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 4.2.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保适用于 Redis 数据存储的 AWS Database Migration Service(AWS DMS)端点已启用 TLS/SSL 加密功能,以加密与其他端点通信时的相关数据。如果未启用 TLS/SSL 加密,则此规则为 NON_COMPLIANT。 | |
| 4.2.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 CloudFront 分配未使用已弃用的 SSL 协议在 CloudFront 边缘站点和自定义源之间进行 HTTPS 通信。如果 CloudFront 分配的任何“OriginSslProtocols”包含“SSLv3”,则此规则为 NON_COMPLIANT。 | |
| 4.2.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配正在加密流向自定义源的流量。如果“OriginProtocolPolicy”为“http-only”或“OriginProtocolPolicy”为“match-viewer”且“ViewerProtocolPolicy”为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 4.2.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保您的 Amazon CloudFront 分配使用 HTTPS(直接或通过重定向)。如果针对 DefaultCacheBehavior 或 CacheBehaviors 将 ViewerProtocolPolicy 的值设置为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 4.2.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 4.2.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保您的 Amazon DynamoDB Accelerator(DAX)集群将 ClusterEndpointEncryptionType 设置为 TLS。如果 DAX 集群未通过传输层安全性协议(TLS)加密,则此规则为 NON_COMPLIANT。 | |
| 4.2.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 Amazon MSK 集群使用 HTTPS(TLS)对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信,则此规则为 NON_COMPLIANT。 | |
| 4.2.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 AWS Database Migration Service(AWS DMS)端点配置了 SSL 连接。如果 AWS DMS 未配置 SSL 连接,则此规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 AWS 私有证书颁发机构(AWS 私有 CA)有已禁用的根 CA。对于状态不为 DISABLED 的根 CA,该规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保适用于 Redis 数据存储的 AWS Database Migration Service(AWS DMS)端点已启用 TLS/SSL 加密功能,以加密与其他端点通信时的相关数据。如果未启用 TLS/SSL 加密,则此规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 CloudFront 分配未使用已弃用的 SSL 协议在 CloudFront 边缘站点和自定义源之间进行 HTTPS 通信。如果 CloudFront 分配的任何“OriginSslProtocols”包含“SSLv3”,则此规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配正在加密流向自定义源的流量。如果“OriginProtocolPolicy”为“http-only”或“OriginProtocolPolicy”为“match-viewer”且“ViewerProtocolPolicy”为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保您的 Amazon CloudFront 分配使用 HTTPS(直接或通过重定向)。如果针对 DefaultCacheBehavior 或 CacheBehaviors 将 ViewerProtocolPolicy 的值设置为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保您的 Amazon DynamoDB Accelerator(DAX)集群将 ClusterEndpointEncryptionType 设置为 TLS。如果 DAX 集群未通过传输层安全性协议(TLS)加密,则此规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 Amazon MSK 集群使用 HTTPS(TLS)对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信,则此规则为 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 在传输过程中受到强密码的保护。(PCI-DSS-v4.0) | 确保 AWS Database Migration Service(AWS DMS)端点配置了 SSL 连接。如果 AWS DMS 未配置 SSL 连接,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保至少有一个 AWS CloudTrail 跟踪使用安全最佳实践定义。如果至少有一个跟踪满足以下所有条件,则此规则为 COMPLIANT: | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| 5.3.4 | 反恶意软件机制和进程处于激活、维护和监控状态。(PCI-DSS-v4.0) | 确保 Amazon CloudWatch 日志组保留期设置为大于 365 天或指定的保留期。如果保留期小于 MinRetentionTime 或者 365 天(如果指定此天数),则此规则为 NON_COMPLIANT。 | |
| 6.3.3 | 识别并解决安全漏洞。(PCI-DSS-v4.0) | 确保运行时、角色、超时和内存大小的 AWS Lambda 函数设置符合预期值。此规则忽略包类型为“Image”的函数和运行时设置为“仅限操作系统的运行时”的函数。如果 Lambda 函数设置与预期值不匹配,则此规则为 NON_COMPLIANT。 | |
| 6.3.3 | 识别并解决安全漏洞。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(EKS)集群运行的不是支持的最旧版本。如果 EKS 集群运行的是支持的最旧版本(等于参数“oldestVersionSupported”),则此规则为 NON_COMPLIANT。 | |
| 6.4.1 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配与 Web 应用程序防火墙(WAF)或 WAFv2 网络访问控制列表(ACL)关联。如果 CloudFront 分配未与 WAF Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 6.4.1 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 AWS AppSync API 与 AWS WAFv2 Web 访问控制列表(ACL)关联。如果 AWS AppSync API 未与 Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 6.4.1 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 WAFv2 Web ACL 包含任何 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或 WAF 规则组,则此规则为 NON_COMPLIANT。 | |
| 6.4.1 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 WAFv2 规则组包含规则。如果 WAFv2 规则组中没有规则,则此规则为 NON_COMPLIANT。 | |
| 6.4.1 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此规则为 NON_COMPLIANT。 | |
| 6.4.1 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 6.4.1 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 6.4.1 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件,则此规则为 NON_COMPLIANT。 | |
| 6.4.2 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配与 Web 应用程序防火墙(WAF)或 WAFv2 网络访问控制列表(ACL)关联。如果 CloudFront 分配未与 WAF Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 6.4.2 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 AWS AppSync API 与 AWS WAFv2 Web 访问控制列表(ACL)关联。如果 AWS AppSync API 未与 Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| 6.4.2 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 WAFv2 Web ACL 包含任何 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或 WAF 规则组,则此规则为 NON_COMPLIANT。 | |
| 6.4.2 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 WAFv2 规则组包含规则。如果 WAFv2 规则组中没有规则,则此规则为 NON_COMPLIANT。 | |
| 6.4.2 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此规则为 NON_COMPLIANT。 | |
| 6.4.2 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 6.4.2 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| 6.4.2 | 面向公众的 Web 应用程序受到保护,可免受攻击。(PCI-DSS-v4.0) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件,则此规则为 NON_COMPLIANT。 | |
| 6.5.5 | 所有系统组件的更改均得到安全管理。(PCI-DSS-v4.0) | 确保 Lambda 计算平台的部署组未使用默认部署配置。如果部署组使用的是部署配置“codeDeploydefault.lambdaallaTonce”,则此规则为 NON_COMPLIANT。 | |
| 6.5.5 | 所有系统组件的更改均得到安全管理。(PCI-DSS-v4.0) | 确保 AWS CodePipeline 的第一个部署阶段至少执行一个部署。这是为了监控持续部署活动,确保定期更新,并识别不活跃或未充分利用的管道,这些管道可能表明开发或部署过程中存在问题。(可选)确保后续剩余每个阶段执行的部署数超过指定的部署数(deploymentLimit)。 | |
| 6.5.6 | 所有系统组件的更改均得到安全管理。(PCI-DSS-v4.0) | 确保 Lambda 计算平台的部署组未使用默认部署配置。如果部署组使用的是部署配置“codeDeploydefault.lambdaallaTonce”,则此规则为 NON_COMPLIANT。 | |
| 6.5.6 | 所有系统组件的更改均得到安全管理。(PCI-DSS-v4.0) | 确保 AWS CodePipeline 的第一个部署阶段至少执行一个部署。这是为了监控持续部署活动,确保定期更新,并识别不活跃或未充分利用的管道,这些管道可能表明开发或部署过程中存在问题。(可选)确保后续剩余每个阶段执行的部署数超过指定的部署数(deploymentLimit)。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 7.2.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 7.2.2 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.4 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在指定的天数内被访问过。如果机密在“unusedForDays”天数内未被访问过,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 7.2.5 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.2.5.1 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在指定的天数内被访问过。如果机密在“unusedForDays”天数内未被访问过,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 7.2.6 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 7.2.6 | 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 7.3.1 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 7.3.2 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 7.3.3 | 系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.2.1 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 8.2.1 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保正在运行的 Amazon Elastic Compute Cloud(EC2)实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的,则此规则为 NON_COMPLIANT。 | |
| 8.2.2 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 8.2.2 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保正在运行的 Amazon Elastic Compute Cloud(EC2)实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的,则此规则为 NON_COMPLIANT。 | |
| 8.2.2 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保项目不包含环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。如果项目环境变量包含明文凭证,则此规则为 NON_COMPLIANT。 | |
| 8.2.2 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密已根据轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换,则此规则为 NON_COMPLIANT。 | |
| 8.2.2 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在过去指定的天数内已轮换过。如果机密的轮换时间已超过 maxDaysSinceRotation 天数,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.2.2 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在指定的天数内被访问过。如果机密在“unusedForDays”天数内未被访问过,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.2.4 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 8.2.4 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保正在运行的 Amazon Elastic Compute Cloud(EC2)实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的,则此规则为 NON_COMPLIANT。 | |
| 8.2.5 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 8.2.5 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保正在运行的 Amazon Elastic Compute Cloud(EC2)实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的,则此规则为 NON_COMPLIANT。 | |
| 8.2.6 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在指定的天数内被访问过。如果机密在“unusedForDays”天数内未被访问过,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 8.2.7 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保您的 Amazon Elastic Compute Cloud(Amazon EC2)实例元数据版本配置了实例元数据服务版本 2(IMDSv2)。如果 HttpTokens 设置为可选,则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保只启用了 IMDSv2。如果启动配置中未包含元数据版本,或者同时启用了元数据 V1 和 V2,则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 8.2.8 | 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.3.10.1 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保活动 IAM 访问密钥在 maxAccessKeyAge 中指定的天数内轮换(更改)。如果访问密钥未在指定时间段内轮换,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.3.10.1 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密已根据轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换,则此规则为 NON_COMPLIANT。 | |
| 8.3.10.1 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在过去指定的天数内已轮换过。如果机密的轮换时间已超过 maxDaysSinceRotation 天数,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.3.11 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 8.3.11 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保正在运行的 Amazon Elastic Compute Cloud(EC2)实例不是使用亚马逊密钥对启动的。如果正在运行的 EC2 实例是使用密钥对启动的,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Athena 工作组已启用静态加密。如果未为 Athena 工作组启用静态数据加密,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Neptune 数据库集群已加密快照。如果 Neptune 集群没有加密快照,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Redshift 集群使用指定的 AWS Key Management Service(AWS KMS)密钥进行加密。如果启用了加密并且集群是使用 kmsKeyArn 参数中提供的密钥进行加密的,则此规则为 COMPLIANT。如果集群未加密,或者是使用其他密钥加密的,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS CodeBuild 项目为其所有构件启用了加密。如果任何主要或次要(如果存在)构件配置的“encryptionDisabled”设置为“true”,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保配置了 Amazon S3 日志的 AWS CodeBuild 项目为其日志启用了加密。如果在 CodeBuild 项目的 S3LogsConfig 中将“encryptionDisabled”设置为“true”,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon DynamoDB Accelerator(DAX)集群已加密。如果 DAX 集群未加密,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保适用于 Redis 数据存储的 AWS Database Migration Service(AWS DMS)端点已启用 TLS/SSL 加密功能,以加密与其他端点通信时的相关数据。如果未启用 TLS/SSL 加密,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service 集群配置为使用 AWS Key Management Service(KMS)密钥加密 Kubernetes 机密。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon API Gateway 阶段中的所有方法都启用了缓存并对缓存进行了加密。如果 Amazon API Gateway 阶段中的任何方法未配置为缓存或者缓存未加密,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保您的 Amazon DocumentDB(兼容 MongoDB)集群启用了存储加密。如果未启用存储加密,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon DynamoDB 表使用 AWS Key Management Service(KMS)加密。如果 Amazon DynamoDB 表未使用 AWS KMS 加密,则此规则为 NON_COMPLIANT。如果 kmsKeyArns 输入参数中不存在加密的 AWS KMS 密钥,则此规则也是 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon DynamoDB 表已加密并检查其状态。如果状态为已启用或正在启用,则此规则为 COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 CloudFront 分配未使用已弃用的 SSL 协议在 CloudFront 边缘站点和自定义源之间进行 HTTPS 通信。如果 CloudFront 分配的任何“OriginSslProtocols”包含“SSLv3”,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配正在加密流向自定义源的流量。如果“OriginProtocolPolicy”为“http-only”或“OriginProtocolPolicy”为“match-viewer”且“ViewerProtocolPolicy”为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保您的 Amazon CloudFront 分配使用 HTTPS(直接或通过重定向)。如果针对 DefaultCacheBehavior 或 CacheBehaviors 将 ViewerProtocolPolicy 的值设置为“allow-all”,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保项目不包含环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。如果项目环境变量包含明文凭证,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保您的 Amazon DynamoDB Accelerator(DAX)集群将 ClusterEndpointEncryptionType 设置为 TLS。如果 DAX 集群未通过传输层安全性协议(TLS)加密,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon EKS 集群未配置为使用 AWS KMS 加密 Kubernetes 机密。如果 EKS 集群没有 encryptionConfig 资源或 encryptionConfig 没有将机密用作资源,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Kinesis 流使用服务器端加密进行静态加密。如果 Kinesis 流不存在“StreamenCryption”,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon MSK 集群使用 HTTPS(TLS)对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保您的 Amazon Neptune 数据库集群启用了存储加密。如果未启用存储加密,则此规则为 NON_COMPLIANT。 | |
| 8.3.2 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Database Migration Service(AWS DMS)端点配置了 SSL 连接。如果 AWS DMS 未配置 SSL 连接,则此规则为 NON_COMPLIANT。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶策略不允许其他 AWS 账户的主体对存储桶中的资源执行已列入阻止列表的存储桶级和对象级操作。例如,此规则检查 Amazon S3 存储桶策略是否不允许另一个 AWS 账户对存储桶中的任何对象执行任何 s3:GetBucket* 操作和 s3:DeleteObject 操作。如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则此规则为 NON_COMPLIANT。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保您的 Amazon Simple Storage Service(S3)存储桶策略不允许您提供的控制 Amazon S3 存储桶策略之外的其他账户间权限。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 检查 Shield Response Team(SRT)是否可以访问您的 AWS 账户。如果 AWS Shield Advanced 已启用,但未配置用于 SRT 访问的角色,则此规则为 NON_COMPLIANT。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 IAM 策略 ARN 附加到 IAM 用户,或包含一个或多个 IAM 用户的组,或包含一个或多个受信任实体的 IAM 角色。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群启用了 AWS Identity and Access Management(IAM)数据库身份验证。如果 Amazon Neptune 集群未启用 IAM 数据库身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)集群启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 集群未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 EC2 实例附加了 AWS Identity and Access Management(IAM)配置文件。如果 EC2 实例未附加 IAM 配置文件,则此规则为 NON_COMPLIANT。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| 8.3.4 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)实例启用了 AWS Identity and Access Management(IAM)身份验证。如果 Amazon RDS 实例未启用 IAM 身份验证,则此规则为 NON_COMPLIANT。 | |
| 8.3.5 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保活动 IAM 访问密钥在 maxAccessKeyAge 中指定的天数内轮换(更改)。如果访问密钥未在指定时间段内轮换,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.3.5 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密已根据轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换,则此规则为 NON_COMPLIANT。 | |
| 8.3.5 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在过去指定的天数内已轮换过。如果机密的轮换时间已超过 maxDaysSinceRotation 天数,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.3.7 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保活动 IAM 访问密钥在 maxAccessKeyAge 中指定的天数内轮换(更改)。如果访问密钥未在指定时间段内轮换,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.3.7 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密已根据轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换,则此规则为 NON_COMPLIANT。 | |
| 8.3.7 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在过去指定的天数内已轮换过。如果机密的轮换时间已超过 maxDaysSinceRotation 天数,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.3.9 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保活动 IAM 访问密钥在 maxAccessKeyAge 中指定的天数内轮换(更改)。如果访问密钥未在指定时间段内轮换,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.3.9 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密已根据轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换,则此规则为 NON_COMPLIANT。 | |
| 8.3.9 | 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在过去指定的天数内已轮换过。如果机密的轮换时间已超过 maxDaysSinceRotation 天数,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.4.1 | 实施多重身份验证(MFA)以保护对 CDE 的访问。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用,则此规则为 NON_COMPLIANT。 | |
| 8.4.2 | 实施多重身份验证(MFA)以保护对 CDE 的访问。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用,则此规则为 NON_COMPLIANT。 | |
| 8.4.3 | 实施多重身份验证(MFA)以保护对 CDE 的访问。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用,则此规则为 NON_COMPLIANT。 | |
| 8.6.3 | 严格管理应用程序和系统账户以及相关的身份验证因素的使用。(PCI-DSS-v4.0) | 确保活动 IAM 访问密钥在 maxAccessKeyAge 中指定的天数内轮换(更改)。如果访问密钥未在指定时间段内轮换,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| 8.6.3 | 严格管理应用程序和系统账户以及相关的身份验证因素的使用。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密已根据轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。如果日期已过但机密未轮换,则此规则为 NON_COMPLIANT。 | |
| 8.6.3 | 严格管理应用程序和系统账户以及相关的身份验证因素的使用。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在过去指定的天数内已轮换过。如果机密的轮换时间已超过 maxDaysSinceRotation 天数,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| A1.1.2 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon Neptune 手动数据库集群快照不是公开快照。如果任何现有和新的 Neptune 集群快照是公有的,则此规则为 NON_COMPLIANT。 | |
| A1.1.2 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| A1.1.2 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| A1.1.2 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| A1.1.2 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| A1.1.2 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| A1.1.2 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon API Gateway API 属于规则参数“endpointConfigurationType”中指定的类型。如果 REST API 与规则参数中配置的终端节点类型不匹配,则规则返回 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配与 Web 应用程序防火墙(WAF)或 WAFv2 网络访问控制列表(ACL)关联。如果 CloudFront 分配未与 WAF Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保与 Amazon CloudFront 分配关联的证书不是默认 SSL 证书。如果 CloudFront 分配使用默认 SSL 证书,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 策略针对分段数据包配置了用户定义的无状态默认操作。如果针对分段数据包的无状态默认操作与用户定义的默认操作不匹配,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon Relational Database Service(Amazon RDS)数据库安全组为默认安全组。如果存在任何非默认数据库安全组的数据库安全组,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon Elastic Compute Cloud(Amazon EC2)Transit Gateway 没有启用“AutoAcceptSharedAttachments”。如果 Transit Gateway 的“AutoAcceptSharedAttachments”设置为“enable”,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)端点不可公开访问。如果终端节点可公开访问,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(INCOMING_SSH_DISABLED)和规则名称(restricted-ssh)是不同的。确保安全组的传入 SSH 流量可以访问。如果安全组中的传入 SSH 流量的 IP 地址受限(CIDR 而不是 0.0.0.0/0 或 ::/0),则此规则为 COMPLIANT。否则,将为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 AWS AppSync API 与 AWS WAFv2 Web 访问控制列表(ACL)关联。如果 AWS AppSync API 未与 Web ACL 关联,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Bitbucket 源存储库 URL 不包含登录凭证。如果 URL 包含任何登录信息,则此规则为 NON_COMPLIANT;如果不包含任何登录信息,则此规则为 COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保经典负载均衡器使用 AWS Certificate Manager 提供的 SSL 证书。要使用此规则,请与传统负载均衡器配合使用 SSL 或 HTTPS 侦听器。注意 - 此规则仅适用于经典负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保网络访问控制列表(NACL)的 SSH/RDP 入口流量的默认端口不受限制。如果 NACL 入站条目允许端口 22 或 3389 使用源 TCP 或 UDP CIDR 块,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 WAF 全局 Web ACL 包含一些 WAF 规则或规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 AWS WAF 经典规则组包含一些规则。如果规则组中不存在任何规则,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 AWS WAF 全局规则包含某些条件。如果 WAF 全局规则中不存在任何条件,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 AWS Client VPN 授权规则不授权所有客户端进行连接访问。如果“AccessAll”存在且设置为 true,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保互联网网关连接到授权的虚拟私有云(Amazon VPC)。如果互联网网关连接到未经授权的 VPC,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| A1.1.3 | 多租户服务提供商保护和隔离所有客户环境与数据。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 Amazon API Gateway V2 阶段启用了访问日志功能。如果“阶段”配置中不存在“accessLogSettings”,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 Amazon CloudFront 分配配置为将访问日志传送至 Amazon S3 存储桶。如果 CloudFront 分配未配置日志记录,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保至少有一个 AWS CloudTrail 跟踪使用安全最佳实践定义。如果至少有一个跟踪满足以下所有条件,则此规则为 COMPLIANT: | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 Amazon Neptune 集群为审计日志启用了 CloudWatch 日志导出功能。如果 Neptune 集群没有为审核日志启用 CloudWatch 日志导出功能,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保在活动的 ECS 任务定义上设置了 logConfiguration。如果活动 ECSTaskDefinition 未定义 logConfiguration 资源,或者至少在一个容器定义中 logConfiguration 的值为空,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(CLOUD_TRAIL_ENABLED)和规则名称(cloudtrail-enabled)是不同的。确保您的 AWS 账户中启用了 AWS CloudTrail 跟踪。如果跟踪未启用,则规则为 NON_COMPLIANT。(可选)该规则会检查特定 S3 存储桶、Amazon Simple Notification Service(Amazon SNS)主题和 CloudWatch 日志组。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 注意:对于此规则,规则标识符(MULTI_REGION_CLOUD_TRAIL_ENABLED)和规则名称(multi-region-cloudtrail-enabled)是不同的。确保至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则此规则为 NON_COMPLIANT。如果 ExcludeManagementEventSources 字段不为空或 AWS CloudTrail 配置为排除管理事件,例如 AWS 事件或 Amazon RDS 数据 API 事件,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 AWS AppSync API 启用了日志记录。如果未启用日志记录,或者“fieldLogLevel”既不是 ERROR 也不是 ALL,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 AWS WAF 经典全局 Web 访问控制列表(Web ACL)上启用了日志记录。如果全局 Web ACL 未启用日志记录,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 Amazon CloudWatch 审计日志记录。如果代理未启用审核日志记录,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 Amazon MQ 代理启用了 CloudWatch 审计日志记录。如果代理未启用审计日志记录,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 Amazon Elastic Kubernetes Service(Amazon EKS)集群配置为启用日志记录。如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 AWS Elastic Beanstalk 环境配置为将日志发送到 Amazon CloudWatch Logs。如果“StreamLogs”的值为 false,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 AWS Step Functions 机器启用了日志记录功能。如果状态机未启用日志记录,或日志记录配置未达到提供的最低级别,则此规则为 NON_COMPLIANT。 | |
| A1.2.1 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保 AWS Network Firewall 启用了日志记录。如果未配置日志记录类型,则此规则为 NON_COMPLIANT。您可以指定希望规则检查的日志记录类型。 | |
| A1.2.3 | 多租户服务提供商为所有客户的日志记录和事件响应提供便利。(PCI-DSS-v4.0) | 确保您为 AWS 账户联系人提供了安全联系人信息。如果未提供账户内的安全联系人信息,则此规则为 NON_COMPLIANT。 | |
| A3.2.5.1 | PCI DSS 范围已记录在案并经过验证。(PCI-DSS-v4.0) | 确保为 Amazon Macie 启用了自动敏感数据发现。如果禁用自动敏感数据发现,则此规则为 NON_COMPLIANT。该规则适用于管理员账户,而不适用于成员账户。 | |
| A3.2.5.1 | PCI DSS 范围已记录在案并经过验证。(PCI-DSS-v4.0) | 确保每个区域的账户中均启用了 Amazon Macie。如果“status”属性未设置为“ENABLED”,则此规则为 NON_COMPLIANT。 | |
| A3.2.5.2 | PCI DSS 范围已记录在案并经过验证。(PCI-DSS-v4.0) | 确保为 Amazon Macie 启用了自动敏感数据发现。如果禁用自动敏感数据发现,则此规则为 NON_COMPLIANT。该规则适用于管理员账户,而不适用于成员账户。 | |
| A3.2.5.2 | PCI DSS 范围已记录在案并经过验证。(PCI-DSS-v4.0) | 确保每个区域的账户中均启用了 Amazon Macie。如果“status”属性未设置为“ENABLED”,则此规则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知,则此规则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保拥有指定指标名称的 CloudWatch 警报具有指定设置。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 已纳入常规业务(BAU)活动。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 | |
| A3.4.1 | 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | 确保 Amazon Neptune 手动数据库集群快照不是公开快照。如果任何现有和新的 Neptune 集群快照是公有的,则此规则为 NON_COMPLIANT。 | |
| A3.4.1 | 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | 确保 Amazon DocumentDB 手动集群快照不是公开快照。如果任何 Amazon DocumentDB 手动集群快照是公开快照,则此规则为 NON_COMPLIANT。 | |
| A3.4.1 | 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | 确保备份保管库附有防止删除恢复点的基于资源的策略。如果备份保管库没有基于资源的策略或策略中没有合适的“Deny”语句(具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle 和 backup:PutBackupVaultAccessPolicy 权限的语句),则此规则为 NON_COMPLIANT。 | |
| A3.4.1 | 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | 确保使用 Amazon EMR 的账户已启用阻止公共访问的设置。如果 BlockPublicSecurityGroupRules 为 false,或者虽然为 true,但 PermittedPublicSecurityGroupRuleRanges 中列出了端口 22 以外的端口,则此规则为 NON_COMPLIANT。 | |
| A3.4.1 | 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | 确保 AWS Secrets Manager 机密在指定的天数内被访问过。如果机密在“unusedForDays”天数内未被访问过,则此规则为 NON_COMPLIANT。默认值为 90 天。 | |
| A3.4.1 | 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | 确保 Amazon S3 接入点已启用阻止公共访问的设置。如果未为 S3 接入点启用阻止公共访问设置,则此规则为 NON_COMPLIANT。 | |
| A3.4.1 | 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | 确保从账户级别配置了所需的公共访问阻止设置。仅当下面设置的字段与配置项中的相应字段不匹配时,该规则才为 NON_COMPLIANT。 | |
| A3.4.1 | 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0) | 确保 Amazon Simple Storage Service(Amazon S3)存储桶版本控制配置中启用了 MFA 删除。如果 MFA 删除未启用,则此规则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保在 Amazon API Gateway REST API 上启用了 AWS X-Ray 跟踪。如果已启用 X-Ray 跟踪,则此规则为 COMPLIANT,否则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。还可以确保使用了指定的 Amazon SNS 主题。如果 CloudFormation 堆栈不发送通知,则此规则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保已为 EC2 实例启用详细监控。如果未启用详细监控,则此规则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保 CloudWatch 警报为 ALARM、INSUFFICIENT_DATA 或 OK 状态配置了操作。(可选)确保有任何操作与指定 ARN 匹配。如果没有为警报或可选参数指定任何操作,则此规则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、Amazon RDS 集群或 S3 存储桶。如果指定指标具有资源 ID 和 CloudWatch 警报,则此规则为 COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保拥有指定指标名称的 CloudWatch 警报具有指定设置。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保 AWS WAFv2 规则组启用了 Amazon CloudWatch 安全指标收集。如果“visibilityConfig.cloudwatchMetricsEnabled”字段设置为 false,则此规则为 NON_COMPLIANT。 | |
| A3.5.1 | 发现并响应可疑事件。(PCI-DSS-v4.0) | 确保已启用 Amazon Simple Notification Service(SNS)日志记录,以记录发送到端点主题的通知消息的传送状态。如果未启用消息的传送状态通知,则此规则为 NON_COMPLIANT。 |
模板
该模板可在 GitHub 上找到:PCI DSS 4.0 操作最佳实践(包括全局资源类型)
