本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 加速中的配置合规性
AMS Accelerate 可帮助您按照安全性和运营完整性的高标准配置资源,并遵守以下行业标准:
+ 互联网安全中心 (CIS)
+ 美国国家标准与技术研究院 (NIST) 云安全框架 (CSF)
+ 健康保险流通与责任法案 (HIPAA)
+ 支付卡行业 (PCI) 数据安全标准 (DSS)
为此,我们将整个合规 AWS Config 规则集部署到您的账户,请参阅[AMS Config 规则库](#acc-sec-compliance-rules)。 AWS Config 规则代表资源的所需配置,并根据资源设置的配置更改进行评估。 AWS 任何配置更改都会触发大量规则来测试合规性。例如,假设您创建了一个 Amazon S3 存储桶,并将其配置为可公开读取,这违反了 NIST 标准。[ams-nist-cis-s3-bucket-public-read-prohibited 规则](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html)会检测到违规行为,并在配置报告中将您的 S3 存储桶标记为 “**不合规**”。由于此规则属于**自动事故**补救类别,因此它会立即创建事件报告,提醒您注意问题。其他更严重的违反规则的行为可能会导致 AMS 自动修复问题。请参阅[对 “加速” 中违规行为的回应](#acc-sec-compliance-responses)。
**重要**
如果您希望我们采取更多措施,例如,如果您希望 AMS 为您纠正违规行为,无论其补救类别如何,请提交服务请求,要求 AMS 为您补救违规资源。在服务请求中,添加诸如 “作为 AMS 配置规则补救的一部分,请修复账户*CONFIG\$1RULE\$1NAME*中的非投诉资源*RESOURCE\$1ARNS\$1OR\$1IDs*、配置规则” 之类的评论,并添加必要的输入以纠正违规行为。
如果您希望我们少做一些事情,例如,如果您不希望我们对设计上需要公开访问的特定 S3 存储桶采取行动,则可以创建例外,请参阅[在 “加速” 中创建规则例外](#acc-sec-compliance-config-reports-exception)。
## AMS Config 规则库
Accelerate 会部署 AMS 配置规则库来保护您的账户。这些配置规则以开头`ams-`。您可以通过 AWS Config 控制台、CLI 或 AWS Config AP AWS I 查看账户中的规则及其合规状态。有关使用的一般信息 AWS Config,请参阅[ ViewingConfiguration 合规性](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)。
**注意**
对于选择加入 AWS 区域和 gov cloud 区域,由于区域限制,我们只部署配置规则的子集。通过在 AMS Accelerate 配置规则表中查看与 AMS Accelerate 配置规则表中的标识符关联的链接,检查规则在区域中的可用性。
您无法删除任何已部署的 AMS Config 规则。
### 规则表
作为 [ams\$1config\$1rules.zip](samples/ams_config_rules.zip) 下载。
**AMS 配置规则**
| 规则名称 | 服务 | 触发器 | 操作 | 框架 |
| --- | --- | --- | --- | --- |
| [ams-nist-cis-guardduty-启用集中式](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | GuardDuty | 定期 | 修复 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (2) (ii);PCI:2.2,3.4,8.2.1; |
| [ams-nist-cis-vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC | 定期 | 修复 | C@@ IS:CIS.6;NIST-CSF:DE.AE- 1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.312 (b);PCI:2.2,10.1,10.3.2,10.3.2,10.3.3,10.3.4,10.3.5,10 .3.6; |
| [ams-eks-secrets-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/eks-secrets-encrypted.html) | EKS | 定期 | 事件 | CIS:不适用;NIS T-CSF:不适用;HIPAA:不适用;PCI:不适用; |
| [ams-eks-endpoint-no-公共访问](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html) | EKS | 定期 | 事件 | CIS:不适用;NIS T-CSF:不适用;HIPAA:不适用;PCI:不适用; |
| [ams-nist-cis-vpc-default-security-group-closed](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | VPC | Config 更改 | 事件 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312 (e) (1);PCI:1.2,1.3,2.1,2.1,2.2,1.2.1,1.3.2,2.2.2; |
| [ams-nist-cis-iam-密码政策](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | IAM | 定期 | 事件 | CIS:NA;NIS T-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (ii) 164.308 (a) (i) 164.308 (a) (a) (4)) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| [ams-nist-cis-iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | IAM | 定期 | 事件 | C@@ IS:CIS.16、CIS.4;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) 164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (4) (a) (a) (a) (3) (a) (3) (ii) (4) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.1,7.2.2; |
| [ams-nist-cis-iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | IAM | 定期 | 事件 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) ,164.312 (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.3,7.2.2; |
| [ams-nist-cis-restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | 安全组 | Config 更改 | 事件 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:2.2,7.2.1,8.1.4; |
| [ams-nist-cis-restricted-公共端口](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) | 安全组 | Config 更改 | 事件 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE- 1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.32.2,1.2.1,1.3.1,1.3.2,2.2.2; |
| [ams-nist-cis-s3 account-level-public-access-方块](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html) | S3 | Config 更改 | 事件 | C@@ IS:CIS.9、CIS.12、CIS.14;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.2.1,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2,2.2.2; |
| [ams-nist-cis-s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | S3 | Config 更改 | 事件 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | S3 | Config 更改 | 事件 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-s3-已启bucket-server-side-encryption用](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | S3 | Config 更改 | 事件 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (c) (2) (2) ,164.312 (e) (2) (2) (ii);PCI:2.2,3.4,10.5,8.2.1; |
| [ams-nist-cis-securityhub-已启用](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | Security Hub | 定期 | 事件 | C@@ IS:CIS.3、CIS.4、CIS.6、CIS.12、CIS.16、CIS.19;NIST-CSF:PR.DS-5、PR.PT-1;HIPAA:164.312 (b);PCI:N A; |
| [ams-nist-cis-ec2-经instance-managed-by-systems理](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308 (a) (5) (ii) (B);PCI:2.4; |
| [ams-nist-cis-cloudtrail-已启用](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.16、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.MA-2、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.308 (a) (5) (ii) (C) 164.312 (b);PCI:10.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.5,10.2.5,10.2.6,10.2.7,10.3.1,10.3.2,10.3.3,10.3.4,10.3.4,10.3.4,10.3.5,10.3.6; |
| [ams-nist-cis-access-按键旋转](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | IAM | 定期 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:2.2; |
| [ams-nist-cis-acm-certificate-expiration-check](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html) | Certificate Manager | Config 更改 | 报告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.AC-5,PR.PT-4;HIPAA:NA;PCI:4.1; |
| [ams-nist-cis-alb-http-to-https-redirection-检查](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | ALB | 定期 | 报告 | 独联体:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii) ,164.312 (e) (2) (ii);PCI:2.34.1,8.2.1; |
| [ams-nist-cis-api-已加gw-cache-enabled-and密](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | API Gateway | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| [ams-nist-cis-api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway | Config 更改 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | ELB | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.PT-1,PR.PT-5;HIPAA:164.312 (b);PCI:2.2; |
| [ams-nist-cis-cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:2.2,3.4,10.5; |
| [ams-nist-cis-cloud-已启trail-log-file-validation用](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:PR.DS-6;HIPAA:164.312 (c) (1) 164.312 (c) (2);PCI:2.2,10.5,11.5,11.5,10.5,10.5.2,10.5.5; |
| [ams-nist-cis-cloudtrail-s3 数据事件已启用](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.312 (b);PCI:2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.5,10.3.3,10.3.3,10.3.3,10.3.4,10.2.3,10.3.3,10.3.4,10.2.3,10.3.3,10.3.3,10.3.4,10.3,10.3.3,10.3.4,10.3.5,10 .3.6; |
| [ams-nist-cis-cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | CloudWatch | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:不适用;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| [ams-nist-cis-cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | CloudWatch | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:不适用;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| [ams-nist-cis-codebuild-project-envvar-awscred-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html) | CodeBuild | Config 更改 | 报告 | C@@ IS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:8.2.1; |
| [ams-nist-cis-codebuild-project-source-repo-url-检查](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html) | CodeBuild | Config 更改 | 报告 | C@@ IS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:8.2.1; |
| [ams-nist-cis-db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| [ams-nist-cis-dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) | DMS | 定期 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-dynamodb-autoscaling-已启用](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | DynamoDB | 定期 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) ,164.308 (a) (7) (7) (ii) (C);PCI:NA; |
| [ams-nist-cis-dynamodb-启用 pitr](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | DynamoDB | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| [ams-nist-dynamodb-throughput-限额检查](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-throughput-limit-check.html) | DynamoDB | 定期 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-ebs-optimized-实例](https://docs.aws.amazon.com/config/latest/developerguide/ebs-optimized-instance.html) | EBS | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.308 (a) (7) (i);PCI:不适用; |
| [ams-nist-cis-ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | EBS | 定期 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-ec2-instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | EC2 | Config 更改 | 报告 | CIS:NA;NIS T-CSF:DE.AE-1,PR.PT-1;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-cis-ec2-instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) 164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC- 3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308 (a) (5) (ii) (B);PCI:6.2; |
| [ams-nist-cis-ec2 个停止的实例](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html) | EC2 | 定期 | 报告 | CIS:CIS.2;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:NA;PCI:NA;PCI:NA; |
| [ams-nist-cis-ec2-volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | EC2 | Config 更改 | 报告 | CIS:CIS.2;NIST-CSF:PR.IP-1;H IPAA:NA;PCI:NA;PCI:NA; |
| [ams-nist-cis-efs-加密支票](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | EFS | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-eip-已附上](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-elasticache-redis-cluster-automatic-backup-检查](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | ElastiCache | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| [ams-nist-cis-opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | OpenSearch | 定期 | 报告 | C@@ IS:CIS.14,CIS.13;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) | OpenSearch | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) | Certificate Manager | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-elb-deletion-已启用保护](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html) | ELB | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii) ,164.312 (e) (2) (ii);PCI:4.1,8.2.1; |
| [ams-nist-cis-elb-启用日志功能](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | ELB | Config 更改 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-cis-emr-已启用 kerberos](https://docs.aws.amazon.com/config/latest/developerguide/emr-kerberos-enabled.html) | EMR | 定期 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-cis-emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html) | EMR | 定期 | 报告 | C@@ IS:CIS.14、CIS.16;NIST-CSF:PR.AC- 1、PR.AC-4、PR.AC-6;HIPAA:164.308 (a) (3) (i) 164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (4) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) ,164.308 (a) (ii) (C) ,164.312 (a) (1);PCI:7.2.1; |
| [ams-nist-cis-encrypted-卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | EBS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC- 3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | GuardDuty | 定期 | 报告 | C@@ IS:CIS.12、CIS.13、CIS.16、CIS.19、CIS.3、CIS.4、CIS.6、CIS.8;NIST-CSF:DE.AE-2、DE.AE-3、DE.CM-4、DE.DP-5、ID.RA-1、ID.RA-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (5) (ii) (C) 164.308 (a) (6) (ii) 164.312 (b);PCI:6.1,11.4,5.1.2; |
| [ams-nist-iam-group-has-users-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-group-has-users-check.html) | IAM | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.AC-4,PR.AC-1;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (ii) 164.308 (a) (i) 164.308 (a) (a) (4)) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| [ams-nist-cis-iam-管理员访问policy-no-statements-with权限](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | IAM | Config 更改 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC-6,PR.AC-7;HIPAA:164.308 (a) (4) (ii) (B) 164.308 (a) (5) (ii) (D) ,164.312 (d);PCI:8.2.3,8.2.4,8.2.5; |
| [ams-nist-cis-iam-user-group-membership-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-group-membership-check.html) | IAM | Config 更改 | 报告 | C@@ IS:CIS.16、CIS.4;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) ,164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (4) (a) (a) (4) (a) (4) (a) (4) (a) (4) (a) (4) (a) (4) ii) (C) ,164.312 (a) (1) ,164.312 (a) (2) (i);PCI:2.2,7.1.2,7.2.1,7.2.1,8.1.1; |
| [ams-nist-cis-iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | IAM | Config 更改 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-7;HIPAA:164.308 (a) (4) (ii) (B) ,164.312 (d);PCI:8.3; |
| [ams-nist-cis-iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | IAM | 定期 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (3) (i) ,164.308 (a) (i) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) ,164.308 (a) 4.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| [ams-nist-cis-ec2-instances-in-vpc](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instances-in-vpc.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE- 1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.32.2,1.2.1,1.3.1,1.3.2,2.2.2; |
| [ams-nist-cis-internet-gateway-authorized-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/internet-gateway-authorized-vpc-only.html) | 互联网网关 | 定期 | 报告 | CIS:CIS.9、CIS.12;NIST-CSF:NA;HIP AA:NA;PCI:NA;PCI:NA;NA; |
| [ams-nist-cis-kms-cmk-not-scheduled-for-删除](https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html) | KMS | 定期 | 报告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:NA;PCI:3.5,3.6; |
| [ams-nist-lambda-concurrency-检查](https://docs.aws.amazon.com/config/latest/developerguide/lambda-concurrency-check.html) | Lambda | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-lambda-dlq-检查](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | Lambda | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-cis-lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) | Lambda | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3. |
| [ams-nist-cis-lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) | Lambda | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,2.2,1.3.2,1.3.4,2.2.2; |
| [ams-nist-cis-mfa-enabled-for-iam-console-访问](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | IAM | 定期 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-7;HIPA A:164.312 (d);PCI:2.2,8.3; |
| [ams-nist-cis-multi-region-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.MA-2、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) ,164.312 (b);PCI:2.2,10.2.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,2.7,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.5,10.3.6; |
| [ams-nist-rds-enhanced-启用监控](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html) | RDS | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.PT-1;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-cis-rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-rds-multi-az-support](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html) | RDS | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) ,164.308 (a) (7) (7) (ii) (C);PCI:NA; |
| [ams-nist-cis-rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-rds-存储加密](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.13、CIS.5、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (b) ,164.312 (e) (2) (ii);PCI:3.4,10.1,10.2.1,10.2.2.1 (ii);PCI:3.4,10.1,10.2.1,10.2.2.1 2,10.2.3,10.2.4,10.2.5,10.3.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.5,10.3.6,8.2.1; |
| [ams-nist-cis-redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | RedShift | Config 更改 | 报告 | C@@ IS:CIS.6、CIS.13、CIS.5;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (b) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1,10.1.10.2.2.1 1,10.2.2,10.2.3,10.2.4,10.2.5,10.3.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.5,10.3.6; |
| [ams-nist-cis-redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) | RedShift | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | RedShift | 定期 | 报告 | 独联体:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii);PCI:2.34.1; |
| [ams-nist-cis-root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | IAM | 定期 | 报告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312 (d);PCI:2.2,8.3; |
| [ams-nist-cis-root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | IAM | 定期 | 报告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312 (d);PCI:2.2,8.3; |
| [ams-nist-cis-s3-bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | S3 | Config 更改 | 报告 | CIS:CIS.14、CIS.13;NIST-CSF:ID.BE-5、PR.PT-5、RC.RP-1;HIPAA:NA;PCI:NA;PCI:NA; |
| [ams-nist-cis-s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | S3 | Config 更改 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) ,164.312 (b);PCI:2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.3,10.2.4,10.2.7,10.3.1,10.3.2,10.2.5,10.2.7,10.3.1,10.3.2,10.2.5,10.2.7,10.3.1,10.3.2,10.2.2,10.2.7,10.3.1,10.3.2,10.2.2,10.2.10.3.3,10.3.4,10.3.4 ,10.3.6; |
| [ams-nist-cis-s3-bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | S3 | Config 更改 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:2.2,10.5.3; |
| [ams-nist-cis-s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | S3 | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (c) (2) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii);PCI:2.2,4.312 (e) (2) (ii);PCI:2.2,4.312 (e) (2) (ii) 1,8.2.1; |
| [ams-nist-cis-s3-bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | S3 | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE- 5、PR.DS-4、PR.DS-6、PR.IP-4、PR.PT-5、RC.RP-1;HIP AA:164.308 (a) (7) (i) 164.308 (a) (7) (i) 164.308 (a) (7) (ii) (a) (7) (ii) (A) 164.308 (a) (7) (ii) (a) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) B) 164.312 (c) (1) ,164.312 (c) (2);PCI:10.5.3; |
| [ams-nist-cis-sagemaker-已endpoint-configuration-kms-key配置](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-sagemaker-已notebook-instance-kms-key配置](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-sagemaker-notebook-no-direct-internet-访问](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) | SageMaker | 定期 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html) | Secrets Manager | Config 更改 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:NA; |
| [ams-nist-cis-secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | Secrets Manager | Config 更改 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:NA; |
| [ams-nist-cis-sns-加密的 kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | SNS | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:8.2.1; |
| [ams-nist-cis-vpc-sg-open-only-to-授权端口](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) | VPC | Config 更改 | 报告 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.2.1,1.3.1,1.3.2,2.2.2; |
| [ams-nist-vpc-vpn2 个隧道向上](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | VPC | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i);PCI:NA; |
| [ams-cis-ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | EC2 | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (2) (ii);PCI:2.2,3.4,8.2.1; |
| [ams-cis-rds-snapshot-已加密](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-cis-redshift-cluster-维护设置-检查](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) | RedShift | Config 更改 | 报告 | C@@ IS:CIS.5;NIST-CSF:PR.DS-4、PR.IP-1、PR.IP-4;HIPAA:164.308 (a) (5) (ii) (A) 164.308 (a) (7) (ii) (A);PCI:6.2; |
## 对 “加速” 中违规行为的回应
所有 Config 规则违规行为都会出现在您的配置报告中。这是一种普遍的回应。根据规则的*补救类别*(严重程度),AMS 可能会采取其他措施,如下表所示。有关如何为某些规则自定义*操作代码*的详细信息,请参阅[自定义调查结果响应](custom-findings-responses.md)。
**补救措施**
| 操作码 | AMS 行动 |
| --- |--- |
| 报告 | [添加到 Config 报告](#acc-sec-compliance-response-universal) |
| 事件 | [添加到 Config 报告](#acc-sec-compliance-response-universal) [Accelerate 中的自动事件报告](#acc-sec-compliance-response-incident) |
| 修复 | [添加到 Config 报告](#acc-sec-compliance-response-universal) [Accelerate 中的自动事件报告](#acc-sec-compliance-response-incident) [在 “加速” 中自动修复](#acc-sec-compliance-response-autoremediate) |
**请求其他帮助**
**注意**
AMS 可以为您纠正任何违规行为,无论其补救类别如何。要请求帮助,请提交服务请求,并注明您希望 AMS 修复哪些资源,并附上诸如 “作为 AMS 配置规则补救的一部分,请修复非投诉*RESOURCE\$1ARNS\$1OR\$1IDs*资源资源 ARNs/IDs>,账户*CONFIG\$1RULE\$1NAME*中的配置规则” 之类的评论,并添加必要的输入以纠正违规行为。
AMS Accelerate 有一个 AWS Systems Manager 自动化文档和运行手册库,可帮助修复不合规的资源。
### 添加到 Config 报告
AMS 会生成一份 Config 报告,用于跟踪您账户中所有规则和资源的合规状态。您可以向 CSDM 索取报告。您还可以通过 C AWS onfig 控制台、 AWS CLI 或 Confi AWS g API 查看合规性状态。您的 Config 报告包括:
+ 您环境中最重要的不合规资源,用于发现潜在威胁和错误配置
+ 随着时间的推移,资源和配置规则的合规性
+ Config 规则描述、规则严重性以及修复不合规资源的建议补救步骤
当任何资源进入不合规状态时,资源状态(和规则状态)在您的 Config 报告中变为 “**不合规**”。如果该规则属于**仅限 Config Rep** ort 的补救类别,则默认情况下,AMS 不会采取任何进一步的措施。您可以随时创建服务请求,向 AMS 请求其他帮助或补救措施。
有关更多详细信息,请参阅 [AWS Config 报告](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/on-request-reporting.html#acc-report-config-control-compliance)。
### Accelerate 中的自动事件报告
对于中等严重的违规行为,AMS 会自动创建事件报告,通知您资源已进入不合规状态,并询问您希望执行哪些操作。在应对事件时,您可以选择以下选项:
+ 请求 AMS 修复事件中列出的不合规资源。然后,我们会尝试修复不合规的资源,并在潜在事件得到解决后通知您。
+ 您可以在控制台中或通过自动部署系统(例如,Pi CI/CD peline 模板更新)手动解决不合规项目;然后,您可以解决事件。将根据规则的时间表重新评估不合规的资源,如果资源被评估为不合规,则会创建新的事件报告。
+ 您可以选择不解决不合规的资源,而直接解决事件。如果您稍后更新资源的 AWS 配置,Config 将触发重新评估,并再次提醒您评估该资源的不合规性。
### 在 “加速” 中自动修复
最重要的规则属于**自动修复类别。**不遵守这些规则可能会严重影响您的账户的安全性和可用性。当资源违反以下规则之一时:
1. AMS 会自动通过事件报告通知您。
1. AMS 使用我们的自动 SSM 文档开始自动修复。
1. AMS 会根据自动修复的成功或失败来更新事件报告。
1. 如果自动修复失败,AMS 工程师将调查问题。
## 在 “加速” 中创建规则例外
AWS Config 规则 资源异常功能允许您禁止针对特定规则报告特定、不合规的资源。
**注意**
豁免的资源在您的 Confi AWS g Service 控制台中仍显示为 “**不合规**”。豁免的资源在 Config 报告中带有特殊标志(resource\$1Exception: True)。生成报告时, CSDMs 您可以根据该列筛选出这些资源。
如果您知道有不合规的资源,则可以在他们的 Config Reports 中删除特定配置规则的特定资源。要实现此目的,应按照以下步骤进行:
针对您的账户向 Accelerate 提交服务请求,并列出应免于报告的配置规则和资源。您必须提供明确的业务理由(例如,无需举报*resource\$1name\$11*,*resource\$1name\$12*也无需备份,因为我们不希望对其进行备份)。有关提交加速服务请求的帮助,请参阅[在 Accelerate 中创建服务请求](creating-a-sr.md)。
将以下输入粘贴到请求中(为每个资源添加一个包含所有必填字段的单独块,如图所示),然后提交:
```
[
{
"resource_name": "resource_name_1",
"config_rule_name": "config_rule_name_1",
"business_justification": "REASON_TO_EXEMPT_RESOURCE",
"resource_type": "resource_type"
},
{
"resource_name": "resource_name_2",
"config_rule_name": "config_rule_name_2",
"business_justification": "REASON_TO_EXEMPT_RESOURCE",
"resource_type": "resource_type"
}
]
```
## 在 “加速” 中降低 AWS Config 成本
您可以通过使用定期记录`AWS::EC2::Instance`资源类型的选项来降低 AWS Config 成本。定期记录每 24 小时捕获一次资源的最新配置更改,从而减少交付的更改数量。启用后, AWS Config 仅记录 24 小时后资源的最新配置。这使您可以根据不需要持续监控的特定运营规划、合规性和审计用例定制配置数据。只有当您的应用程序依赖于临时架构(这意味着您要不断扩大或缩小实例的数量)时,才建议您进行此更改。
要选择定期记录`AWS::EC2::Instance`资源类型,请联系您的 AMS 交付团队。
# 自定义调查结果响应
您可以选择希望 AMS Accelerate 如何响应某些发现(不合规的 Config 规则)。您可以将 AMS 配置为对调查结果做出回应,方法是修正调查结果,请求您批准补救,或者只是在下次月度业务回顾 (MBR) 中向您报告。您可以更改 AMS Accelerate Config 规则的默认响应。要查看规则,请前往 “[配置合规性” > “规则表](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html)”,或者将规则表下载为 ZIP 文件 [ams\$1config\$1rules.zip](samples/ams_config_rules.zip)。
更改默认响应允许对更多发现进行补救,从而帮助您提高账户的安全性和合规性状态。当你修复更多的调查结果时,需要等待人工审核和批准的案例就会减少。大量的 AMS 补救运行手册库会不断修复不合规的资源,只有在需要时才会与您联系。
自定义响应仅适用于新资源或包含新事件的现有资源。例如,变更后变为不合规的资源。这是因为较旧的资源往往需要在修复之前进行更深入的检查,而且在创建或更改资源时更容易强制执行资源修复。要随时请求对任何资源的发现进行补救,请提交服务请求。
## 请求更改默认回复
Cloud Architects (CAs) 会在入职期间与你合作,收集你的偏好。 CAs然后在内部 AMS 系统上设置初始配置。入职后,创建服务请求以请求更新您的配置。您可以根据需要多次请求配置更新。请注意,操作仅更新创建服务请求的账户的配置。如果您需要同时更新多个帐户,请联系您的云架构师。出于审计目的,您的 CA 会要求您根据自己的偏好删除服务请求。
## 更改调查结果和账户的默认回复
您始终需要为每个账户和发现设置一个回复偏好。AMS 提供默认响应(请参阅[配置合规性](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html)),因此此配置是可选的。您可以将每个查找结果的默认响应更改为以下选项:
+ 修复:AMS 手动或自动修复发现。AMS 会审查补救措施并告知您是否失败。
+ 申请批准:AMS 创建出站案例以通知您有关调查结果。如果您想在批准补救措施或豁免补救措施之前查看调查结果,请使用此选项。然后,AMS 会执行您喜欢的操作。
+ 不采取任何行动(仅限报告):AMS 不采取任何措施来补救或上报调查结果。调查结果可能仍会显示在控制台上,并在控制台期间显示报告 MBRs。
**注意**
您无法更改必须由 AMS 补救的规则的配置。例如,启用 Amazon GuardDuty 和 VPC 流日志。
## 按资源更改默认响应
您可以使用标签进一步配置对特定资源的响应。您可以使用 Resource Tagger 使用已存在的标签或标记资源。有关详细信息,请参阅[加速资源标记器](acc-resource-tagger.md))。带有标签的资源的配置优先于查找结果的默认操作。当资源有多个标签且关联配置不同时,AMS 无法运行自定义补救措施。相反,AMS 会向您发送出站服务请求,以告知您情况。例如,对于[bucket-server-side-encryption启用 s3-](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) 的查找结果,您可以:
+ 将响应更改为 “修复” 未加密的 S3 存储桶,标签密钥值对为 “监管:True”
+ 当未加密的 S3 存储桶的标签为 “监管:False” 时,将响应更改为 “无操作”,并且
+ 将未加密的 S3 存储桶的默认响应更改为 “请求批准”。这适用于所有没有 “监管:真” 或 “监管:假” 标签的 S3 存储桶
您还可以添加运行自定义查找响应所需的输入。例如,对于需要加密密钥的补救措施,您可以向 AMS IDs 提供密钥。您可以更改修复运行手册的输入参数,但是 AMS 不支持与自定义 runbook 集成。有关 Config 报告中对 AMS 补救运行手册的描述,请参阅[AWS Config 控制合规性报告](acc-report-config-control-compliance.md)。