本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# CIS AWS 基準 1.3.0 版
<a name="CIS-1-3"></a>





AWS Audit Manager 提供兩個支援 CIS AWS Benchmark v1.3 的預先建置標準架構。

**注意**  
如需支援 v1.2.0 之 Audit Manager 架構的相關資訊，請參閱 [CIS AWS 基準 1.2.0 版](CIS-1-2.md)。
如需支援 v1.4.0 之 Audit Manager 架構的相關資訊，請參閱 [CIS AWS 基準 1.4.0 版](CIS-1-4.md)。

**Topics**
+ [

## 什麼是 AWS CIS 基準？
](#what-is-CIS-1-3)
+ [使用這些架構](#framework-CIS-1-3)
+ [

## 後續步驟
](#next-steps-CIS-1-3)
+ [

## 其他資源
](#resources-CIS-1-3)

## 什麼是 AWS CIS 基準？
<a name="what-is-CIS-1-3"></a>

CIS 開發了 [CIS AWS Foundations Benchmark](https://www.cisecurity.org/benchmark/amazon_web_services/) 1.3.0 版，這組安全組態最佳實務 AWS。這些業界公認的最佳實務超越 中已提供的高階安全指引，提供 AWS 使用者明確的step-by-step實作和評估程序。

如需詳細資訊，請參閱安全[部落格上的 CIS AWS Foundations Benchmark 部落格文章](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/)。 *AWS *

CIS AWS Benchmark v1.3.0 提供為 子集設定安全選項的指引 AWS 服務 ，強調基礎、可測試和架構無關的設定。本文件部分特定 Amazon Web Services 範圍包含以下項目：
+ AWS Identity and Access Management (IAM)
+ AWS Config
+ AWS CloudTrail
+ Amazon CloudWatch
+ Amazon Simple Notification Service (Amazon SNS)
+ Amazon Simple Storage Service (Amazon S3)
+ Amazon Virtual Private Cloud (預設)

**CIS 基準和 CIS 控制項之間的區別**  
*CIS 基準*是針對供應商產品的安全性最佳實務指南。從操作系統到雲端服務和網路裝置，基準套用的設定可保護貴組織使用的系統。*CIS 控制項*是基本最佳實務指南，供組織遵循以協助防範已知的網路攻擊媒介。

**範例**
+ CIS 基準是一系列的方案。它們通常會參考可在廠商產品中檢閱和配置的特定設定。

  **範例：**CIS AWS Benchmark v1.3.0 - 確保已為「根使用者」帳戶啟用 MFA

  此建議提供如何檢查此項目以及如何在 AWS 環境的根帳戶上設定此項目的規範性指導。
+ CIS 控制項適用於您的組織整體，而不是只針對單一供應商產品。

  **範例：**CIS v7.1 - 對所有管理存取使用多重要素驗證 

  此控制項會說明組織內預期套用的項目，但不會說明您應該如何將其應用於正在執行的系統和工作負載中 (無論它們位於何處)。

## 使用這些架構
<a name="framework-CIS-1-3"></a>

您可以使用 中的 CIS AWS Benchmark v1.3 架構 AWS Audit Manager 來協助您準備 CIS 稽核。您也可以根據特定需求自訂這些架構和他們的控制項，以支援內部稽核。

使用架構作為起點，您可以建立 Audit Manager 評估，並開始收集與稽核相關的證據。建立評估之後，Audit Manager 會開始評估您的 AWS 資源。其根據 CIS 架構中定義的控制項來執行此動作。需要進行稽核時，您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾，並選擇要包含在評估報告中的證據。或者，如果您啟用了證據搜尋工具，您就可以搜尋特定證據並以 CSV 格式匯出，或者從搜尋結果建立評估報告。不論何種方式，您都可以使用此評估報告來顯示您的控制項正在按預期運作。

架構的詳細資訊如下：


| 中的架構名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 | 
| --- | --- | --- | --- | 
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.3.0，第 1 級 | 32 | 5 | 5 | 
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.3.0，第 1 級和第 2 級 | 49 | 6 | 5 | 

**重要**  
為了確保這些架構從中收集預期證據 AWS Security Hub CSPM，請務必在 Security Hub CSPM 中啟用所有標準。  
為了確保這些架構從中收集預期證據 AWS Config，請務必啟用必要的 AWS Config 規則。若要檢閱做為這些標準架構之資料來源映射的 AWS Config 規則清單，請下載下列檔案：  
[ AuditManager\$1ConfigDataSourceMappings\$1CIS-AWS-Benchmark-v1.3.0，-Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.3.0,-Level-1.zip)
[ AuditManager\$1ConfigDataSourceMappings\$1CIS-AWS-Benchmark-v1.3.0，-Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.3.0,-Level-1-and-2.zip)

這些架構中的控制項無意驗證您的系統是否符合 CIS AWS Benchmark 最佳實務。此外，他們無法保證您會通過 CIS 稽核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控制。

## 後續步驟
<a name="next-steps-CIS-1-3"></a>

如需如何檢視這些架構的詳細資訊，包括其中包含的標準控制項清單，請參閱 [在 中檢閱架構 AWS Audit Manager](review-frameworks.md)。

如需使用這些架構建立評估方式的說明，請參閱 [在 中建立評估 AWS Audit Manager](create-assessments.md)。

如需如何自訂這些架構以支援特定需求的指示，請參閱 [在 中製作現有架構的可編輯複本 AWS Audit Manager](create-custom-frameworks-from-existing.md)。

## 其他資源
<a name="resources-CIS-1-3"></a>
+ [CIS AWS Foundations Benchmark*AWS 安全部落格*貼文](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/)