本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加速中的配置合规性
AMS Accelerate 可帮助您按照安全性和运营完整性的高标准配置资源,并遵守以下行业标准:
互联网安全中心 (CIS)
美国国家标准与技术研究院 (NIST) 云安全框架 (CSF)
健康保险流通与责任法案 (HIPAA)
支付卡行业 (PCI) 数据安全标准 (DSS)
为此,我们将整个合规 AWS Config 规则集部署到您的账户,请参阅AMS Config 规则库。 AWS Config 规则代表资源的所需配置,并根据资源设置的配置更改进行评估。 AWS 任何配置更改都会触发大量规则来测试合规性。例如,假设您创建了一个 Amazon S3 存储桶,并将其配置为可公开读取,这违反了 NIST 标准。ams-nist-cis-s3-bucket-public-read-prohibited 规则会检测到违规行为,并在配置报告中将您的 S3 存储桶标记为 “不合规”。由于此规则属于自动事故补救类别,因此它会立即创建事件报告,提醒您注意问题。其他更严重的违反规则的行为可能会导致 AMS 自动修复问题。请参阅对 “加速” 中违规行为的回应。
重要
如果您希望我们采取更多措施,例如,如果您希望 AMS 为您纠正违规行为,无论其补救类别如何,请提交服务请求,要求 AMS 为您补救违规资源。在服务请求中,添加诸如 “作为 AMS 配置规则补救的一部分,请修复账户CONFIG_RULE_NAME中的非投诉资源RESOURCE_ARNS_OR_IDs、配置规则” 之类的评论,并添加必要的输入以纠正违规行为。
如果您希望我们少做一些事情,例如,如果您不希望我们对设计上需要公开访问的特定 S3 存储桶采取行动,则可以创建例外,请参阅在 “加速” 中创建规则例外。
AMS Config 规则库
Accelerate 会部署 AMS 配置规则库来保护您的账户。这些配置规则以开头ams-。您可以通过 AWS Config 控制台、CLI 或 AWS Config AP AWS I 查看账户中的规则及其合规状态。有关使用的一般信息 AWS Config,请参阅 ViewingConfiguration 合规性。
注意
对于选择加入 AWS 区域和 gov cloud 区域,由于区域限制,我们只部署配置规则的子集。通过在 AMS Accelerate 配置规则表中查看与 AMS Accelerate 配置规则表中的标识符关联的链接,检查规则在区域中的可用性。
您无法删除任何已部署的 AMS Config 规则。
规则表
作为 ams_config_rules.zip 下载。
| 规则名称 | 服务 | 触发器 | 操作 | 框架 |
|---|---|---|---|---|
| ams-nist-cis-guardduty-启用集中式 | GuardDuty | 定期 | 修复 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (2) (ii);PCI:2.2,3.4,8.2.1; |
| ams-nist-cis-vpc-flow-logs-enabled | VPC | 定期 | 修复 | C@@ IS:CIS.6;NIST-CSF:DE.AE- 1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.312 (b);PCI:2.2,10.1,10.3.2,10.3.2,10.3.3,10.3.4,10.3.5,10 .3.6; |
| ams-eks-secrets-encrypted | EKS | 定期 | 事件 | CIS:不适用;NIS T-CSF:不适用;HIPAA:不适用;PCI:不适用; |
| ams-eks-endpoint-no-公共访问 | EKS | 定期 | 事件 | CIS:不适用;NIS T-CSF:不适用;HIPAA:不适用;PCI:不适用; |
| ams-nist-cis-vpc-default-security-group-closed | VPC | Config 更改 | 事件 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312 (e) (1);PCI:1.2,1.3,2.1,2.1,2.2,1.2.1,1.3.2,2.2.2; |
| ams-nist-cis-iam-密码政策 | IAM | 定期 | 事件 | CIS:NA;NIS T-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (ii) 164.308 (a) (i) 164.308 (a) (a) (4)) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| ams-nist-cis-iam-root-access-key-check | IAM | 定期 | 事件 | C@@ IS:CIS.16、CIS.4;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) 164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (4) (a) (a) (a) (3) (a) (3) (ii) (4) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.1,7.2.2; |
| ams-nist-cis-iam-user-mfa-enabled | IAM | 定期 | 事件 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) ,164.312 (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.3,7.2.2; |
| ams-nist-cis-restricted-ssh | 安全组 | Config 更改 | 事件 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:2.2,7.2.1,8.1.4; |
| ams-nist-cis-restricted-公共端口 | 安全组 | Config 更改 | 事件 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE- 1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.32.2,1.2.1,1.3.1,1.3.2,2.2.2; |
| ams-nist-cis-s3 account-level-public-access-方块 | S3 | Config 更改 | 事件 | C@@ IS:CIS.9、CIS.12、CIS.14;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.2.1,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2,2.2.2; |
| ams-nist-cis-s3-bucket-public-read-prohibited | S3 | Config 更改 | 事件 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-s3-bucket-public-write-prohibited | S3 | Config 更改 | 事件 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-s3-已启bucket-server-side-encryption用 | S3 | Config 更改 | 事件 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (c) (2) (2) ,164.312 (e) (2) (2) (ii);PCI:2.2,3.4,10.5,8.2.1; |
| ams-nist-cis-securityhub-已启用 | Security Hub | 定期 | 事件 | C@@ IS:CIS.3、CIS.4、CIS.6、CIS.12、CIS.16、CIS.19;NIST-CSF:PR.DS-5、PR.PT-1;HIPAA:164.312 (b);PCI:N A; |
| ams-nist-cis-ec2-经instance-managed-by-systems理 | EC2 | Config 更改 | 报告 | C@@ IS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308 (a) (5) (ii) (B);PCI:2.4; |
| ams-nist-cis-cloudtrail-已启用 | CloudTrail | 定期 | 报告 | C@@ IS:CIS.16、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.MA-2、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.308 (a) (5) (ii) (C) 164.312 (b);PCI:10.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.5,10.2.5,10.2.6,10.2.7,10.3.1,10.3.2,10.3.3,10.3.4,10.3.4,10.3.4,10.3.5,10.3.6; |
| ams-nist-cis-access-按键旋转 | IAM | 定期 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:2.2; |
| ams-nist-cis-acm-certificate-expiration-check | Certificate Manager | Config 更改 | 报告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.AC-5,PR.PT-4;HIPAA:NA;PCI:4.1; |
| ams-nist-cis-alb-http-to-https-redirection-检查 | ALB | 定期 | 报告 | 独联体:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii) ,164.312 (e) (2) (ii);PCI:2.34.1,8.2.1; |
| ams-nist-cis-api-已加gw-cache-enabled-and密 | API Gateway | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| ams-nist-cis-api-gw-execution-logging-enabled | API Gateway | Config 更改 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-autoscaling-group-elb-healthcheck-required | ELB | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.PT-1,PR.PT-5;HIPAA:164.312 (b);PCI:2.2; |
| ams-nist-cis-cloud-trail-encryption-enabled | CloudTrail | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:2.2,3.4,10.5; |
| ams-nist-cis-cloud-已启trail-log-file-validation用 | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:PR.DS-6;HIPAA:164.312 (c) (1) 164.312 (c) (2);PCI:2.2,10.5,11.5,11.5,10.5,10.5.2,10.5.5; |
| ams-nist-cis-cloudtrail-s3 数据事件已启用 | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.312 (b);PCI:2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.5,10.3.3,10.3.3,10.3.3,10.3.4,10.2.3,10.3.3,10.3.4,10.2.3,10.3.3,10.3.3,10.3.4,10.3,10.3.3,10.3.4,10.3.5,10 .3.6; |
| ams-nist-cis-cloudwatch-alarm-action-check | CloudWatch | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:不适用;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| ams-nist-cis-cloudwatch-log-group-encrypted | CloudWatch | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:不适用;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| ams-nist-cis-codebuild-project-envvar-awscred-check | CodeBuild | Config 更改 | 报告 | C@@ IS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:8.2.1; |
| ams-nist-cis-codebuild-project-source-repo-url-检查 | CodeBuild | Config 更改 | 报告 | C@@ IS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:8.2.1; |
| ams-nist-cis-db-instance-backup-enabled | RDS | Config 更改 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| ams-nist-cis-dms-replication-not-public | DMS | 定期 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-dynamodb-autoscaling-已启用 | DynamoDB | 定期 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) ,164.308 (a) (7) (7) (ii) (C);PCI:NA; |
| ams-nist-cis-dynamodb-启用 pitr | DynamoDB | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| ams-nist-dynamodb-throughput-限额检查 | DynamoDB | 定期 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| ams-nist-ebs-optimized-实例 | EBS | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.308 (a) (7) (i);PCI:不适用; |
| ams-nist-cis-ebs-snapshot-public-restorable-check | EBS | 定期 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-ec2-instance-detailed-monitoring-enabled | EC2 | Config 更改 | 报告 | CIS:NA;NIS T-CSF:DE.AE-1,PR.PT-1;HIPAA:164.312 (b);PCI:NA; |
| ams-nist-cis-ec2-instance-no-public-ip | EC2 | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) 164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-ec2-managedinstance-association-compliance-status-check | EC2 | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC- 3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-ec2-managedinstance-patch-compliance-status-check | EC2 | Config 更改 | 报告 | C@@ IS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308 (a) (5) (ii) (B);PCI:6.2; |
| ams-nist-cis-ec2 个停止的实例 | EC2 | 定期 | 报告 | CIS:CIS.2;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:NA;PCI:NA;PCI:NA; |
| ams-nist-cis-ec2-volume-inuse-check | EC2 | Config 更改 | 报告 | CIS:CIS.2;NIST-CSF:PR.IP-1;H IPAA:NA;PCI:NA;PCI:NA; |
| ams-nist-cis-efs-加密支票 | EFS | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| ams-nist-cis-eip-已附上 | EC2 | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| ams-nist-cis-elasticache-redis-cluster-automatic-backup-检查 | ElastiCache | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| ams-nist-cis-opensearch-encrypted-at-rest | OpenSearch | 定期 | 报告 | C@@ IS:CIS.14,CIS.13;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| ams-nist-cis-opensearch-in-vpc-only | OpenSearch | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| ams-nist-cis-elb-acm-certificate-required | Certificate Manager | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-elb-deletion-已启用保护 | ELB | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii) ,164.312 (e) (2) (ii);PCI:4.1,8.2.1; |
| ams-nist-cis-elb-启用日志功能 | ELB | Config 更改 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-cis-emr-已启用 kerberos | EMR | 定期 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-cis-emr-master-no-public-ip | EMR | 定期 | 报告 | C@@ IS:CIS.14、CIS.16;NIST-CSF:PR.AC- 1、PR.AC-4、PR.AC-6;HIPAA:164.308 (a) (3) (i) 164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (4) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) ,164.308 (a) (ii) (C) ,164.312 (a) (1);PCI:7.2.1; |
| ams-nist-cis-encrypted-卷 | EBS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC- 3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-guardduty-non-archived-findings | GuardDuty | 定期 | 报告 | C@@ IS:CIS.12、CIS.13、CIS.16、CIS.19、CIS.3、CIS.4、CIS.6、CIS.8;NIST-CSF:DE.AE-2、DE.AE-3、DE.CM-4、DE.DP-5、ID.RA-1、ID.RA-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (5) (ii) (C) 164.308 (a) (6) (ii) 164.312 (b);PCI:6.1,11.4,5.1.2; |
| ams-nist-iam-group-has-users-check | IAM | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.AC-4,PR.AC-1;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (ii) 164.308 (a) (i) 164.308 (a) (a) (4)) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| ams-nist-cis-iam-管理员访问policy-no-statements-with权限 | IAM | Config 更改 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC-6,PR.AC-7;HIPAA:164.308 (a) (4) (ii) (B) 164.308 (a) (5) (ii) (D) ,164.312 (d);PCI:8.2.3,8.2.4,8.2.5; |
| ams-nist-cis-iam-user-group-membership-check | IAM | Config 更改 | 报告 | C@@ IS:CIS.16、CIS.4;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) ,164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (4) (a) (a) (4) (a) (4) (a) (4) (a) (4) (a) (4) (a) (4) ii) (C) ,164.312 (a) (1) ,164.312 (a) (2) (i);PCI:2.2,7.1.2,7.2.1,7.2.1,8.1.1; |
| ams-nist-cis-iam-user-no-policies-check | IAM | Config 更改 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-7;HIPAA:164.308 (a) (4) (ii) (B) ,164.312 (d);PCI:8.3; |
| ams-nist-cis-iam-user-unused-credentials-check | IAM | 定期 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (3) (i) ,164.308 (a) (i) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) ,164.308 (a) 4.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| ams-nist-cis-ec2-instances-in-vpc | EC2 | Config 更改 | 报告 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE- 1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.32.2,1.2.1,1.3.1,1.3.2,2.2.2; |
| ams-nist-cis-internet-gateway-authorized-vpc-only | 互联网网关 | 定期 | 报告 | CIS:CIS.9、CIS.12;NIST-CSF:NA;HIP AA:NA;PCI:NA;PCI:NA;NA; |
| ams-nist-cis-kms-cmk-not-scheduled-for-删除 | KMS | 定期 | 报告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:NA;PCI:3.5,3.6; |
| ams-nist-lambda-concurrency-检查 | Lambda | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| ams-nist-lambda-dlq-检查 | Lambda | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| ams-nist-cis-lambda-function-public-access-prohibited | Lambda | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3. |
| ams-nist-cis-lambda-inside-vpc | Lambda | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,2.2,1.3.2,1.3.4,2.2.2; |
| ams-nist-cis-mfa-enabled-for-iam-console-访问 | IAM | 定期 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-7;HIPA A:164.312 (d);PCI:2.2,8.3; |
| ams-nist-cis-multi-region-cloudtrail-enabled | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.MA-2、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) ,164.312 (b);PCI:2.2,10.2.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,2.7,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.5,10.3.6; |
| ams-nist-rds-enhanced-启用监控 | RDS | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.PT-1;HIPAA:164.312 (b);PCI:NA; |
| ams-nist-cis-rds-instance-public-access-check | RDS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-rds-multi-az-support | RDS | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) ,164.308 (a) (7) (7) (ii) (C);PCI:NA; |
| ams-nist-cis-rds-snapshots-public-prohibited | RDS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-rds-存储加密 | RDS | Config 更改 | 报告 | C@@ IS:CIS.13、CIS.5、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (b) ,164.312 (e) (2) (ii);PCI:3.4,10.1,10.2.1,10.2.2.1 (ii);PCI:3.4,10.1,10.2.1,10.2.2.1 2,10.2.3,10.2.4,10.2.5,10.3.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.5,10.3.6,8.2.1; |
| ams-nist-cis-redshift-cluster-configuration-check | RedShift | Config 更改 | 报告 | C@@ IS:CIS.6、CIS.13、CIS.5;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (b) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1,10.1.10.2.2.1 1,10.2.2,10.2.3,10.2.4,10.2.5,10.3.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.5,10.3.6; |
| ams-nist-cis-redshift-cluster-public-access-check | RedShift | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-redshift-require-tls-ssl | RedShift | 定期 | 报告 | 独联体:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii);PCI:2.34.1; |
| ams-nist-cis-root-account-hardware-mfa-enabled | IAM | 定期 | 报告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312 (d);PCI:2.2,8.3; |
| ams-nist-cis-root-account-mfa-enabled | IAM | 定期 | 报告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312 (d);PCI:2.2,8.3; |
| ams-nist-cis-s3-bucket-default-lock-enabled | S3 | Config 更改 | 报告 | CIS:CIS.14、CIS.13;NIST-CSF:ID.BE-5、PR.PT-5、RC.RP-1;HIPAA:NA;PCI:NA;PCI:NA; |
| ams-nist-cis-s3-bucket-logging-enabled | S3 | Config 更改 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) ,164.312 (b);PCI:2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.3,10.2.4,10.2.7,10.3.1,10.3.2,10.2.5,10.2.7,10.3.1,10.3.2,10.2.5,10.2.7,10.3.1,10.3.2,10.2.2,10.2.7,10.3.1,10.3.2,10.2.2,10.2.10.3.3,10.3.4,10.3.4 ,10.3.6; |
| ams-nist-cis-s3-bucket-replication-enabled | S3 | Config 更改 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:2.2,10.5.3; |
| ams-nist-cis-s3-bucket-ssl-requests-only | S3 | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (c) (2) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii);PCI:2.2,4.312 (e) (2) (ii);PCI:2.2,4.312 (e) (2) (ii) 1,8.2.1; |
| ams-nist-cis-s3-bucket-versioning-enabled | S3 | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE- 5、PR.DS-4、PR.DS-6、PR.IP-4、PR.PT-5、RC.RP-1;HIP AA:164.308 (a) (7) (i) 164.308 (a) (7) (i) 164.308 (a) (7) (ii) (a) (7) (ii) (A) 164.308 (a) (7) (ii) (a) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) B) 164.312 (c) (1) ,164.312 (c) (2);PCI:10.5.3; |
| ams-nist-cis-sagemaker-已endpoint-configuration-kms-key配置 | SageMaker | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| ams-nist-cis-sagemaker-已notebook-instance-kms-key配置 | SageMaker | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| ams-nist-cis-sagemaker-notebook-no-direct-internet-访问 | SageMaker | 定期 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-secretsmanager-rotation-enabled-check | Secrets Manager | Config 更改 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:NA; |
| ams-nist-cis-secretsmanager-scheduled-rotation-success-check | Secrets Manager | Config 更改 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:NA; |
| ams-nist-cis-sns-加密的 kms | SNS | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:8.2.1; |
| ams-nist-cis-vpc-sg-open-only-to-授权端口 | VPC | Config 更改 | 报告 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.2.1,1.3.1,1.3.2,2.2.2; |
| ams-nist-vpc-vpn2 个隧道向上 | VPC | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i);PCI:NA; |
| ams-cis-ec2-ebs-encryption-by-default | EC2 | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (2) (ii);PCI:2.2,3.4,8.2.1; |
| ams-cis-rds-snapshot-已加密 | RDS | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| ams-cis-redshift-cluster-维护设置-检查 | RedShift | Config 更改 | 报告 | C@@ IS:CIS.5;NIST-CSF:PR.DS-4、PR.IP-1、PR.IP-4;HIPAA:164.308 (a) (5) (ii) (A) 164.308 (a) (7) (ii) (A);PCI:6.2; |
对 “加速” 中违规行为的回应
所有 Config 规则违规行为都会出现在您的配置报告中。这是一种普遍的回应。根据规则的补救类别(严重程度),AMS 可能会采取其他措施,如下表所示。有关如何为某些规则自定义操作代码的详细信息,请参阅自定义调查结果响应。
补救措施
| 操作码 | AMS 行动 |
|---|---|
| 报告 | |
| 事件 | |
| 修复 |
请求其他帮助
注意
AMS 可以为您纠正任何违规行为,无论其补救类别如何。要请求帮助,请提交服务请求,并注明您希望 AMS 修复哪些资源,并附上诸如 “作为 AMS 配置规则补救的一部分,请修复非投诉RESOURCE_ARNS_OR_IDs资源资源 ARNs/IDs>,账户CONFIG_RULE_NAME中的配置规则” 之类的评论,并添加必要的输入以纠正违规行为。
AMS Accelerate 有一个 AWS Systems Manager 自动化文档和运行手册库,可帮助修复不合规的资源。
添加到 Config 报告
AMS 会生成一份 Config 报告,用于跟踪您账户中所有规则和资源的合规状态。您可以向 CSDM 索取报告。您还可以通过 C AWS onfig 控制台、 AWS CLI 或 Confi AWS g API 查看合规性状态。您的 Config 报告包括:
您环境中最重要的不合规资源,用于发现潜在威胁和错误配置
随着时间的推移,资源和配置规则的合规性
Config 规则描述、规则严重性以及修复不合规资源的建议补救步骤
当任何资源进入不合规状态时,资源状态(和规则状态)在您的 Config 报告中变为 “不合规”。如果该规则属于仅限 Config Rep ort 的补救类别,则默认情况下,AMS 不会采取任何进一步的措施。您可以随时创建服务请求,向 AMS 请求其他帮助或补救措施。
有关更多详细信息,请参阅 AWS Config 报告。
Accelerate 中的自动事件报告
对于中等严重的违规行为,AMS 会自动创建事件报告,通知您资源已进入不合规状态,并询问您希望执行哪些操作。在应对事件时,您可以选择以下选项:
请求 AMS 修复事件中列出的不合规资源。然后,我们会尝试修复不合规的资源,并在潜在事件得到解决后通知您。
您可以在控制台中或通过自动部署系统(例如,Pi CI/CD peline 模板更新)手动解决不合规项目;然后,您可以解决事件。将根据规则的时间表重新评估不合规的资源,如果资源被评估为不合规,则会创建新的事件报告。
您可以选择不解决不合规的资源,而直接解决事件。如果您稍后更新资源的 AWS 配置,Config 将触发重新评估,并再次提醒您评估该资源的不合规性。
在 “加速” 中自动修复
最重要的规则属于自动修复类别。不遵守这些规则可能会严重影响您的账户的安全性和可用性。当资源违反以下规则之一时:
AMS 会自动通过事件报告通知您。
AMS 使用我们的自动 SSM 文档开始自动修复。
AMS 会根据自动修复的成功或失败来更新事件报告。
如果自动修复失败,AMS 工程师将调查问题。
在 “加速” 中创建规则例外
AWS Config 规则 资源异常功能允许您禁止针对特定规则报告特定、不合规的资源。
注意
豁免的资源在您的 Confi AWS g Service 控制台中仍显示为 “不合规”。豁免的资源在 Config 报告中带有特殊标志(resource_Exception: True)。生成报告时, CSDMs 您可以根据该列筛选出这些资源。
如果您知道有不合规的资源,则可以在他们的 Config Reports 中删除特定配置规则的特定资源。要实现此目的,应按照以下步骤进行:
针对您的账户向 Accelerate 提交服务请求,并列出应免于报告的配置规则和资源。您必须提供明确的业务理由(例如,无需举报resource_name_1,resource_name_2也无需备份,因为我们不希望对其进行备份)。有关提交加速服务请求的帮助,请参阅在 Accelerate 中创建服务请求。
将以下输入粘贴到请求中(为每个资源添加一个包含所有必填字段的单独块,如图所示),然后提交:
[ { "resource_name": "resource_name_1", "config_rule_name": "config_rule_name_1", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" }, { "resource_name": "resource_name_2", "config_rule_name": "config_rule_name_2", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" } ]
在 “加速” 中降低 AWS Config 成本
您可以通过使用定期记录AWS::EC2::Instance资源类型的选项来降低 AWS Config 成本。定期记录每 24 小时捕获一次资源的最新配置更改,从而减少交付的更改数量。启用后, AWS Config 仅记录 24 小时后资源的最新配置。这使您可以根据不需要持续监控的特定运营规划、合规性和审计用例定制配置数据。只有当您的应用程序依赖于临时架构(这意味着您要不断扩大或缩小实例的数量)时,才建议您进行此更改。
要选择定期记录AWS::EC2::Instance资源类型,请联系您的 AMS 交付团队。
