本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Security Hub CSPM 中的基础安全最佳实践标准
<a name="fsbp-standard"></a>

 AWS 基础安全最佳实践 (FSBP) 标准由 AWS 行业专业人士制定，汇编了各种组织的最佳安全实践，无论组织部门或规模如何。它提供了一组控制措施，用于检测何时 AWS 账户 出现资源偏离安全最佳实践。它还提供了有关如何改进和维护组织的安全状况的规范性指导。

在 S AWS ecurity Hub CSPM 中， AWS 基础安全最佳实践标准包括持续评估您的 AWS 账户 和工作负载的控件，并帮助您识别偏离安全最佳实践的领域。这些控件包括多个 AWS 服务资源的安全最佳实践。为每个控件分配一个类别以反映控件应用于的安全功能。有关类别列表和其他详细信息，请参阅[控件类别](control-categories.md)。

## 适用于标准的控件
<a name="fsbp-controls"></a>

以下列表指定了哪些 Sec AWS urity Hub CSPM 控件适用于 AWS 基础安全最佳实践标准 (v1.0.0)。要查看控件的详细信息，请选择该控件。

 [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1) 

 [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1) 

 [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2) 

 [[APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] API Gateway REST API 阶段应启用 AWS X-Ray 跟踪](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway 应与 WAF Web ACL 关联](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2) 

 [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5) 

 [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6) 

 [[Athena.4] Athena 工作组应启用日志记录](athena-controls.md#athena-4) 

 [[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1) 

 [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2) 

 [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3) 

 [[Cognito.4] Cognito 用户池应激活威胁防护，并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4) 

 [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5) 

 [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6) 

 [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1) 

 [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync 任务应启用日志记录](datasync-controls.md#datasync-1) 

 [[DMS.1] Database Migration Service 复制实例不应公开](dms-controls.md#dms-1) 

 [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6) 

 [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7) 

 [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8) 

 [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9) 

 [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10) 

 [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11) 

 [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12) 

 [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13) 

 [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3) 

 [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] DynamoDB Accelerator（DAX）集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3) 

 [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Amazon EBS 快照不应公开恢复](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2) 

 [[EC2.3] 挂载的 Amazon EBS 卷应进行静态加密](ec2-controls.md#ec2-3) 

 [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4) 

 [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7) 

 [[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] 亚马逊 EC2 实例不应有公有地址 IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点](ec2-controls.md#ec2-10) 

 [[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址](ec2-controls.md#ec2-15) 

 [[EC2.16] 应删除未使用的网络访问控制列表](ec2-controls.md#ec2-16) 

 [[EC2.17] 亚马逊 EC2 实例不应使用多个 ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] 安全组应只允许授权端口不受限制的传入流量](ec2-controls.md#ec2-18) 

 [[EC2.19] 安全组不应允许不受限制地访问高风险端口](ec2-controls.md#ec2-19) 

 [[EC2.20] VPN 连接的两个 VPN 隧道都应 AWS Site-to-Site 处于开启状态](ec2-controls.md#ec2-20) 

 [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23) 

 [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24) 

 [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25) 

 [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)

[[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)

[[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)

[[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)

[[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)

 [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171) 

 [[EC2.172] EC2 VPC 阻止公开访问设置应阻止互联网网关流量](ec2-controls.md#ec2-172) 

 [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173) 

 [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181) 

 [[EC2.182] Amazon EBS 快照不应向公众开放](ec2-controls.md#ec2-182) 

 [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1) 

 [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2) 

 [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3) 

 [[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义](ecs-controls.md#ecs-1) 

 [[ECS.2] ECS 服务不应自动分配公有 IP 地址](ecs-controls.md#ecs-2) 

 [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3) 

 [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4) 

 [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5) 

 [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8) 

 [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9) 

 [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10) 

 [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12) 

 [[ECS.16] ECS 任务集不应自动分配公有 IP 地址](ecs-controls.md#ecs-16) 

 [[ECS.18] ECS 任务定义应对 EFS 卷使用传输中加密](ecs-controls.md#ecs-18) 

 [[ECS.19] ECS 容量提供商应启用托管终止保护](ecs-controls.md#ecs-19) 

 [[ECS.20] ECS 任务定义应在 Linux 容器定义中配置非 root 用户](ecs-controls.md#ecs-20) 

 [[ECS.21] ECS 任务定义应在 Windows 容器定义中配置非管理员用户](ecs-controls.md#ecs-21) 

 [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2) 

 [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3) 

 [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4) 

 [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6) 

 [[EFS.7] EFS 文件系统应启用自动备份](efs-controls.md#efs-7) 

 [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8) 

 [[EKS.1] EKS 集群端点不应公开访问](eks-controls.md#eks-1) 

 [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2) 

 [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3) 

 [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8) 

 [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache （Redis OSS）早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止](elb-controls.md#elb-3) 

 [[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头](elb-controls.md#elb-4) 

 [[ELB.5] 应启用应用程序和经典负载均衡器日志记录](elb-controls.md#elb-5) 

 [[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护](elb-controls.md#elb-6) 

 [[ELB.7] 经典负载均衡器应启用连接耗尽功能](elb-controls.md#elb-7) 

 [[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] 经典负载均衡器应启用跨区域负载均衡器](elb-controls.md#elb-9) 

 [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10) 

 [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12) 

 [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13) 

 [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14) 

 [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17) 

 [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18) 

 [[ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议](elb-controls.md#elb-21) 

 [[ELB.22] ELB 目标组应使用加密的传输协议](elb-controls.md#elb-22) 

 [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1) 

 [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2) 

 [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3) 

 [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4) 

 [[ES.1] Elasticsearch 域应启用静态加密](es-controls.md#es-1) 

 [[ES.2] Elasticsearch 域名不可供公共访问](es-controls.md#es-2) 

 [[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3) 

 [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4) 

 [[ES.5] Elasticsearch 域名应该启用审核日志](es-controls.md#es-5) 

 [[ES.6] Elasticsearch 域应拥有至少三个数据节点](es-controls.md#es-6) 

 [[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点](es-controls.md#es-7) 

 [[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密](es-controls.md#es-8) 

 [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx 对于 OpenZFS 文件系统，应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx 对于 Lustre 文件系统，应配置为将标签复制到备份](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx 对于 OpenZFS 文件系统，应配置为多可用区部署](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx 对于 NetApp ONTAP 文件系统，应配置为多可用区部署](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx 对于 Windows 文件服务器，应为多可用区部署配置文件系统](fsx-controls.md#fsx-5) 

 [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3) 

 [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13) 

 [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1) 

 [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2) 

 [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3) 

 [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4) 

 [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5) 

 [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6) 

 [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7) 

 [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8) 

 [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21) 

 [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1) 

 [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2) 

 [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3) 

 [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3) 

 [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1) 

 [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2) 

 [AWS KMS keys 不应无意中删除 [KMS.3]](kms-controls.md#kms-3) 

 [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5) 

 [[Lambda.1] Lambda 函数策略应禁止公共访问](lambda-controls.md#lambda-1) 

 [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) 

 [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5) 

 [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1) 

 [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2) 

 [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Amazon MQ 代理应启用次要版本自动升级](mq-controls.md#mq-3) 

 [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1) 

 [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3) 

 [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4) 

 [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5) 

 [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6) 

 [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1) 

 [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3) 

 [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4) 

 [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5) 

 [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6) 

 [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7) 

 [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10) 

 [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3) 

 [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4) 

 [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5) 

 [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6) 

 [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8) 

 [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10) 

 [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1) 

 [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2) 

 [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1) 

 [[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3) 

 [[RDS.4] RDS 集群快照和数据库快照应进行静态加密](rds-controls.md#rds-4) 

 [[RDS.5] RDS 数据库实例应配置多个可用区](rds-controls.md#rds-5) 

 [[RDS.6] 应为 RDS 数据库实例配置增强监控](rds-controls.md#rds-6) 

 [[RDS.7] RDS 集群应启用删除保护](rds-controls.md#rds-7) 

 [[RDS.8] RDS 数据库实例应启用删除保护](rds-controls.md#rds-8) 

 [[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] 应为 RDS 实例配置 IAM 身份验证](rds-controls.md#rds-10) 

 [[RDS.11] RDS 实例应启用自动备份](rds-controls.md#rds-11) 

 [[RDS.12] 应为 RDS 集群配置 IAM 身份验证](rds-controls.md#rds-12) 

 [[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13) 

 [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14) 

 [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15) 

 [[RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-16) 

 [[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照](rds-controls.md#rds-17) 

 [[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-19) 

 [[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-20) 

 [[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅](rds-controls.md#rds-21) 

 [[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅](rds-controls.md#rds-22) 

 [[RDS.23] RDS 实例不应使用数据库引擎的默认端口](rds-controls.md#rds-23) 

 [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24) 

 [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25) 

 [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27) 

 [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35) 

 [[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41) 

 [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43) 

 [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44) 

 [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45) 

 [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46) 

 [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47) 

 [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48) 

 [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50) 

 [[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1) 

 [[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密](redshift-controls.md#redshift-2) 

 [[Redshift.3] Amazon Redshift 集群应启用自动快照](redshift-controls.md#redshift-3) 

 [[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4) 

 [[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能](redshift-controls.md#redshift-6) 

 [[Redshift.7] Redshift 集群应使用增强型 VPC 路由](redshift-controls.md#redshift-7) 

 [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8) 

 [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10) 

 [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15) 

 [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1) 

 [[S3.2] S3 通用存储桶应阻止公共读取访问权限](s3-controls.md#s3-2) 

 [[S3.3] S3 通用存储桶应阻止公共写入访问权限](s3-controls.md#s3-3) 

 [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5) 

 [[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户](s3-controls.md#s3-6) 

 [[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8) 

 [[S3.9] S3 通用存储桶应启用服务器访问日志记录](s3-controls.md#s3-9) 

 [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12) 

 [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13) 

 [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19) 

 [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24) 

 [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25) 

 [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Secrets Manager 密钥应启用自动轮换](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] 移除未使用的 Secrets Manager 密钥](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3) 

 [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4) 

 [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1) 

 [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3) 

 [[SSM.1] Amazon EC2 实例应由以下人员管理 AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2) 

 [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4) 

 [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2) 

 [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3) 

 [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1) 

 [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2) 

 [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3) 

 [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4) 

 [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6) 

 [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7) 

 [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10) 

 [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)