本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# CIS AWS 基準 1.2.0 版
<a name="CIS-1-2"></a>





AWS Audit Manager 提供兩個預先建置的架構，支援網際網路安全中心 (CIS) Amazon Web Services (AWS) Benchmark v1.2.0。**

**注意**  
如需支援 v1.3.0 之 Audit Manager 架構的相關資訊，請參閱 [CIS AWS 基準 1.3.0 版](CIS-1-3.md)。
如需支援 v1.4.0 之 Audit Manager 架構的相關資訊，請參閱 [CIS AWS 基準 1.4.0 版](CIS-1-4.md)。

**Topics**
+ [什麼是 CIS？](#what-is-CIS-1-2)
+ [使用此架構](#framework-CIS-1-2)
+ [後續步驟](#next-steps-CIS-1-2)
+ [其他資源](#resources-CIS-1-2)

## 什麼是 CIS？
<a name="what-is-CIS-1-2"></a>

CIS 是開發 [CIS AWS Foundations Benchmark](https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) 的非營利組織。此基準是 的一組安全組態最佳實務 AWS。這些業界公認的最佳實務超越了現有的高階安全性指引，其提供清楚明瞭、按部就班的實作和評估程序。

如需詳細資訊，請參閱安全[部落格上的 CIS AWS Foundations Benchmark 部落格文章](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/)。 *AWS *

**CIS 基準和 CIS 控制項之間的區別**  
*CIS 基準*是針對供應商產品的安全性最佳實務指南。從操作系統到雲端服務和網路裝置，基準測試套用的設定可保護貴組織使用的特定系統。*CIS 控制項*是組織層級系統的基本最佳實務指南，以協助防範已知的網路攻擊媒介。

**範例**
+ CIS 基準是一系列的方案。它們通常會參考可在廠商產品中檢閱和配置的特定設定。

  **範例：**CIS AWS Benchmark v1.2.0 - 確保已為「根使用者」帳戶啟用 MFA。

  此建議提供如何檢查此項目以及如何在 AWS 環境的根帳戶上設定此項目的規範性指導。
+ CIS 控制項則是為組織整體提供的建議。它們不是針對單一供應商產品。

  **範例：**CIS v7.1 - 對所有管理存取使用多重要素驗證

  此控制項描述預期要在組織內套用的項目。它不會說明您應該如何將其應用於正在執行的系統和工作負載中 (無論它們位於何處)。

## 使用此架構
<a name="framework-CIS-1-2"></a>

您可以使用 中的 CIS AWS Benchmark v1.2 架構 AWS Audit Manager 來協助您準備 CIS 稽核。您也可以根據特定需求自訂這些架構和他們的控制項，以支援內部稽核。

使用架構作為起點，您可以建立 Audit Manager 評估，並開始收集與稽核相關的證據。建立評估之後，Audit Manager 會開始評估您的 AWS 資源。其根據 CIS 架構中定義的控制項來執行此動作。需要進行稽核時，您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾，並選擇要包含在評估報告中的證據。或者，如果您啟用了證據搜尋工具，您就可以搜尋特定證據並以 CSV 格式匯出，或者從搜尋結果建立評估報告。不論何種方式，您都可以使用此評估報告來顯示您的控制項正在按預期運作。

架構的詳細資訊如下：


| 中的架構名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 | 
| --- | --- | --- | --- | 
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0，第 1 級 | 33 | 3 | 4 | 
| 網際網路安全中心 (CIS) Amazon Web Services (AWS) Benchmark v1.2.0，第 1 級和第 2 級 | 45 | 4 | 4 | 

**重要**  
為了確保這些架構從中收集預期證據 AWS Security Hub CSPM，請務必在 Security Hub CSPM 中啟用所有標準。  
為了確保這些架構從中收集預期證據 AWS Config，請務必啟用必要的 AWS Config 規則。若要檢閱做為這些標準架構之資料來源映射的 AWS Config 規則清單，請下載下列檔案：  
[AuditManager\$1ConfigDataSourceMappings\$1CIS-AWS-Benchmark-v1.2.0，-Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.2.0,-Level-1.zip)
[AuditManager\$1ConfigDataSourceMappings\$1CIS-AWS-Benchmark-v1.2.0，-Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.2.0,-Level-1-and-2.zip)

這些架構中的控制項無意驗證您的系統是否符合 CIS AWS Benchmark 最佳實務。此外，他們無法保證您會通過 CIS 稽核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控制。

### 使用這些架構的先決條件
<a name="framework-CIS-1-2-prerequisites"></a>

CIS AWS Benchmark v1.2 架構中的許多控制項會 AWS Config 用作資料來源類型。若要支援這些控制項，您必須在 AWS 區域 您[啟用 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) Audit Manager 的每個帳戶中啟用 。您也必須確保特定 AWS Config 規則已啟用，且這些規則已正確設定。

需要下列 AWS Config 規則和參數才能收集正確的證據，並擷取 CIS AWS Foundations Benchmark v1.2 的準確合規狀態。如需如何啟用或配置規則的指示，請參閱[使用 AWS Config 受管規則](https://docs.aws.amazon.com/config/latest/developerguide/managing-aws-managed-rules.html)。


| 必要 AWS Config 規則 | 必要參數 | 
| --- | --- | 
| [ACCESS\$1KEYS\$1ROTATED](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [CLOUD\$1TRAIL\$1CLOUD\$1WATCH\$1LOGS\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | 不適用 | 
| [CLOUD\$1TRAIL\$1ENCRYPTION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | 不適用 | 
| [CLOUD\$1TRAIL\$1LOG\$1FILE\$1VALIDATION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | 不適用 | 
| [CMK\$1BACKING\$1KEY\$1ROTATION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html) | 不適用 | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
|  [IAM\$1POLICY\$1IN\$1USE](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1POLICY\$1NO\$1STATEMENTS\$1WITH\$1ADMIN\$1ACCESS](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | 不適用 | 
| [IAM\$1ROOT\$1ACCESS\$1KEY\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | 不適用 | 
| [IAM\$1USER\$1NO\$1POLICIES\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | 不適用 | 
| [IAM\$1USER\$1UNUSED\$1CREDENTIALS\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [INCOMING\$1SSH\$1DISABLED](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | 不適用 | 
| [MFA\$1ENABLED\$1FOR\$1IAM\$1CONSOLE\$1ACCESS](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | 不適用 | 
| [MULTI\$1REGION\$1CLOUD\$1TRAIL\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | 不適用 | 
| [RESTRICTED\$1INCOMING\$1TRAFFIC](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [ROOT\$1ACCOUNT\$1HARDWARE\$1MFA\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | 不適用 | 
| [ROOT\$1ACCOUNT\$1MFA\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | 不適用 | 
| [S3\$1BUCKET\$1LOGGING\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [S3\$1BUCKET\$1PUBLIC\$1READ\$1PROHIBITED](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | 不適用 | 
| [VPC\$1DEFAULT\$1SECURITY\$1GROUP\$1CLOSED](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | 不適用 | 
| [VPC\$1FLOW\$1LOGS\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/CIS-1-2.html)  | 

## 後續步驟
<a name="next-steps-CIS-1-2"></a>

如需如何檢視這些架構的詳細資訊，包括其中包含的標準控制項清單，請參閱 [在 中檢閱架構 AWS Audit Manager](review-frameworks.md)。

如需使用這些架構建立評估方式的說明，請參閱 [在 中建立評估 AWS Audit Manager](create-assessments.md)。

如需如何自訂這些架構以支援特定需求的指示，請參閱 [在 中製作現有架構的可編輯複本 AWS Audit Manager](create-custom-frameworks-from-existing.md)。

## 其他資源
<a name="resources-CIS-1-2"></a>
+ [CIS AWS Foundations Benchmark 1.2.0 版](https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)
+ [CIS AWS Foundations Benchmark*AWS 安全部落格*貼文](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/)