本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Accelerate 中的組態合規
AMS Accelerate 可協助您將資源設定為高標準的安全性和操作完整性,並符合下列業界標準:
網際網路安全中心 (CIS)
國家標準技術研究所 (NIST) 雲端安全架構 (CSF)
美國健康保險流通與責任法案 (HIPAA)
支付卡產業 (PCI) 資料安全標準 (DSS)
我們透過將整個合規 AWS Config 規則集部署到您的帳戶來執行此操作,請參閱 AMS Config 規則程式庫。 AWS Config 規則代表資源所需的組態,並根據 AWS 資源設定的組態變更進行評估。任何組態變更都會觸發大量規則來測試合規性。例如,假設您建立 Amazon S3 儲存貯體,並將其設定為可公開讀取,而違反 NIST 標準。ams-nist-cis-s3-bucket-public-read-prohibited 規則會偵測違規情況,並在組態報告中標記 S3 儲存貯體不合規。由於此規則屬於 Auto Incident 修復類別,因此會立即建立 Incident Report,提醒您此問題。其他更嚴重的規則違規可能會導致 AMS 自動修復問題。請參閱 在 Accelerate 中回應違規。
重要
如果您希望我們執行更多操作,例如,如果您希望 AMS 為您修復違規,無論其修復類別為何,請提交服務請求,要求 AMS 為您修復不合規的資源。在服務請求中,包含註解,例如「作為 AMS 組態規則修復的一部分,請修復非投訴資源 RESOURCE_ARNS_OR_IDs、在帳戶中設定規則 CONFIG_RULE_NAME」,並新增必要的輸入以修復違規。
如果您希望我們做較少的事,例如,如果您不希望我們對需要設計公開存取的特定 S3 儲存貯體採取動作,您可以建立例外狀況,請參閱 在 Accelerate 中建立規則例外狀況。
AMS Config 規則程式庫
加速部署 AMS 組態規則的程式庫,以保護您的帳戶。這些組態規則以 開頭ams-。您可以從 AWS Config 主控台、 AWS CLI 或 AWS Config API 檢視帳戶中的規則及其合規狀態。如需使用 的一般資訊 AWS Config,請參閱 ViewingConfiguration 合規。
注意
對於選擇加入 AWS 區域和 Gov 雲端區域,由於區域限制,我們只會部署一部分的組態規則。檢查 AMS Accelerate 組態規則表中與識別符相關聯的連結,以檢查區域中的規則可用性。
您無法移除任何已部署的 AMS Config 規則。
規則表
下載為 ams_config_rules.zip。
| 規則名稱 | 服務 | 觸發條件 | 動作 | 架構 |
|---|---|---|---|---|
| ams-nist-cis-guardduty-enabled-centralized | GuardDuty | 定期 | 修復 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,8.2.1; |
| ams-nist-cis-vpc-flow-logs-enabled | VPC | 定期 | 修復 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.3.2、10.3.3、10.3.4、10.3.5、、10.3.6; |
| ams-eks-secrets-encrypted | EKS | 定期 | 事件 | CIS:NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-eks-endpoint-no-public-access | EKS | 定期 | 事件 | CIS:NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-vpc-default-security-group-closed | VPC | 組態變更 | 事件 | CIS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312(e)(1);PCI:1.2、1.3、2.1、2.2、1.2.1、1.3.1、1.3.2、2.2; |
| ams-nist-cis-iam-password-policy | IAM | 定期 | 事件 | CIS:NA;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:7.1.2,7.1.3,7.2.1); |
| ams-nist-cis-iam-root-access-key-check | IAM | 定期 | 事件 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a);PCI:2.2,7.1.2,7.1.3,7.1.2; |
| ams-nist-cis-iam-user-mfa-enabled | IAM | 定期 | 事件 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:2.2,7.1.2,7.1.3,7.2.2; |
| ams-nist-cis-restricted-ssh | 安全群組 | 組態變更 | 事件 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:2.2,7.2.1,8.1.4; |
| ams-nist-cis-restricted-common-ports | 安全群組 | 組態變更 | 事件 | CIS:CIS.11,CIS.12,CIS.9;NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4;HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2.2 |
| ams-nist-cis-s3-account-level-public-access-blocks | S3 | 組態變更 | 事件 | CIS:CIS.9,CIS.12,CIS.14;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.2.1,1.3,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-s3-bucket-public-read-prohibited | S3 | 組態變更 | 事件 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-s3-bucket-public-write-prohibited | S3 | 組態變更 | 事件 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-s3-bucket-server-side-encryption-enabled | S3 | 組態變更 | 事件 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(c)(2)、164.312(e)(2)(ii);PCI:2.2,3.4,10.5,8.2.1; |
| ams-nist-cis-securityhub-enabled | 安全中樞 | 定期 | 事件 | CIS:CIS.3、CIS.4、CIS.6、CIS.12、CIS.16、CIS.19;NIST-CSF:PR.DS-5,PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| ams-nist-cis-ec2-instance-managed-by-systems-manager | EC2 | 組態變更 | 報告 | CIS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308(a)(5)(ii)(B);PCI:2.4; |
| ams-nist-cis-cloudtrail-enabled | CloudTrail | 定期 | 報告 | CIS:CIS.16,CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.308(a)(5)(ii)(C),164.312(b);PCI:10.1、10.2.1、10.2.2、10.2.310.2.4、10.2.5、、10.2.610.2.7、10.3.1、10.3.2、、10.3.3、、10.3.4、10.3.510.3.6; |
| ams-nist-cis-access-keys-rotated | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:2.2; |
| ams-nist-cis-acm-certificate-expiration-check | Certificate Manager | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.AC-5,PR.PT-4;HEAA:NA;PCI:4.1; |
| ams-nist-cis-alb-http-to-https-redirection-check | ALB | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.3,4.1,8.2.1; |
| ams-nist-cis-api-gw-cache-enabled-and-encrypted | API Gateway | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| ams-nist-cis-api-gw-execution-logging-enabled | API Gateway | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,,10.5.4; |
| ams-nist-autoscaling-group-elb-healthcheck-required | ELB | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.PT-1,PR.PT-5;HIPAA:164.312(b);PCI:2.2; |
| ams-nist-cis-cloud-trail-encryption-enabled | CloudTrail | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,10.5; |
| ams-nist-cis-cloud-trail-log-file-validation-enabled | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:PR.DS-6;HIPAA:164.312(c)(1)、164.312(c)(2);PCI:2.2,10.5,11.5,10.5.2,10.5.5; |
| ams-nist-cis-cloudtrail-s3-dataevents-enabled | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.2.1、10.2.2、10.2.3、10.2.5、10.3.110.3.2、10.3.3、10.3.4、10.3.5、、10.3.6; |
| ams-nist-cis-cloudwatch-alarm-action-check | CloudWatch | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:NA;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| ams-nist-cis-cloudwatch-log-group-encrypted | CloudWatch | 定期 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:NA;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| ams-nist-cis-codebuild-project-envvar-awscred-check | CodeBuild | 組態變更 | 報告 | CIS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1);PCI:8.2.1; |
| ams-nist-cis-codebuild-project-source-repo-url-check | CodeBuild | 組態變更 | 報告 | CIS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1);PCI:8.2.1; |
| ams-nist-cis-db-instance-backup-enabled | RDS | 組態變更 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| ams-nist-cis-dms-replication-not-public | DMS | 定期 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-dynamodb-autoscaling-enabled | DynamoDB | 定期 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(C);PCI:NA; |
| ams-nist-cis-dynamodb-pitr-enabled | DynamoDB | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| ams-nist-dynamodb-throughput-limit-check | DynamoDB | 定期 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| ams-nist-ebs-optimized-instance | EBS | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.308(a)(7)(i);PCI:NA; |
| ams-nist-cis-ebs-snapshot-public-restorable-check | EBS | 定期 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-ec2-instance-detailed-monitoring-enabled | EC2 | 組態變更 | 報告 | CIS:NA;NIST-CSF:DE.AE-1,PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| ams-nist-cis-ec2-instance-no-public-ip | EC2 | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-ec2-managedinstance-association-compliance-status-check | EC2 | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-ec2-managedinstance-patch-compliance-status-check | EC2 | 組態變更 | 報告 | CIS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308(a)(5)(ii)(B);PCI:6.2; |
| ams-nist-cis-ec2-stopped-instance | EC2 | 定期 | 報告 | CIS:CIS.2;NIST-CSF:ID.AM-2,PR.IP-1;HEAA:NA;PCI:NA; |
| ams-nist-cis-ec2-volume-inuse-check | EC2 | 組態變更 | 報告 | 順式:CIS.2;NIST-CSF:PR.IP-1;HEAA:NA;PCI:NA; |
| ams-nist-cis-efs-encrypted-check | EFS | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| ams-nist-cis-eip-attached | EC2 | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| ams-nist-cis-elasticache-redis-cluster-automatic-backup-check | ElastiCache | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| ams-nist-cis-opensearch-encrypted-at-rest | OpenSearch | 定期 | 報告 | CIS:CIS.14,CIS.13;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| ams-nist-cis-opensearch-in-vpc-only | OpenSearch | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| ams-nist-cis-elb-acm-certificate-required | Certificate Manager | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2; |
| ams-nist-elb-deletion-protection-enabled | ELB | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:4.1,8.2.1; |
| ams-nist-cis-elb-logging-enabled | ELB | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,10.5.4; |
| ams-nist-cis-emr-kerberos-enabled | EMR | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,10.5.4; |
| ams-nist-cis-emr-master-no-public-ip | EMR | 定期 | 報告 | CIS:CIS.14,CIS.16;NIST-CSF:PR.AC-1,PR.AC-4,PR.AC-6;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(c)(C),164.312(a);PCI:7.2.1; |
| ams-nist-cis-encrypted-volumes | EBS | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-guardduty-non-archived-findings | GuardDuty | 定期 | 報告 | CIS:CIS.12,CIS.13,CIS.16,CIS.19,CIS.3,CIS.4,CIS.6,CIS.8;NIST-CSF:DE.AE-2,DE.AE-3,DE.CM-4,DE.DP-5,ID.RA-1,ID.RA-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(5)(ii)(C),164.308(a)(6)(ii),164.312(b);PCI:6.1,11.4,5.1.2; |
| ams-nist-iam-group-has-users-check | IAM | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.AC-4,PR.AC-1;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:7.1.2,7.1.3,7.2.1); |
| ams-nist-cis-iam-policy-no-statements-with-admin-access | IAM | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-6,PR.AC-7;HIPAA:164.308(a)(4)(ii)(B),164.308(a)(5)(ii)(D),164.312(d);PCI:8.2.3,8.2.4,8.2.5; |
| ams-nist-cis-iam-user-group-membership-check | IAM | 組態變更 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(a)(2)(i);PCI:2.2,7.1.2,7.2.1,8.1; |
| ams-nist-cis-iam-user-no-policies-check | IAM | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-7;HIPAA:164.308(a)(4)(ii)(B),164.312(d);PCI:8.3; |
| ams-nist-cis-iam-user-unused-credentials-check | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a);PCI:2.2,7.1.2,7.13,7.2.2; |
| ams-nist-cis-ec2-instances-in-vpc | EC2 | 組態變更 | 報告 | CIS:CIS.11,CIS.12,CIS.9;NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4;HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2.2 |
| ams-nist-cis-internet-gateway-authorized-vpc-only | 網際網路閘道 | 定期 | 報告 | CIS:CIS.9,CIS.12;NIST-CSF:NA;HEAA:NA;PCI:NA; |
| ams-nist-cis-kms-cmk-not-scheduled-for-deletion | KMS | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HEAA:NA;PCI:3.5,3.6; |
| ams-nist-lambda-concurrency-check | Lambda | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| ams-nist-lambda-dlq-check | Lambda | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| ams-nist-cis-lambda-function-public-access-prohibited | Lambda | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.ACPR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2.4,2.2; |
| ams-nist-cis-lambda-inside-vpc | Lambda | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,2.2; |
| ams-nist-cis-mfa-enabled-for-iam-console-access | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| ams-nist-cis-multi-region-cloudtrail-enabled | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1,10.2.1、10.2.2、10.2.3、10.2.4、10.2.510.2.6、10.2.7、、10.3.1、10.3.2、10.3.3、10.3.4、10.3.510.3.6; |
| ams-nist-rds-enhanced-monitoring-enabled | RDS | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| ams-nist-cis-rds-instance-public-access-check | RDS | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-rds-multi-az-support | RDS | 組態變更 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(C);PCI:NA; |
| ams-nist-cis-rds-snapshots-public-prohibited | RDS | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-rds-storage-encrypted | RDS | 組態變更 | 報告 | CIS:CIS.13、CIS.5、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312(a)(2)(iv)、164.312(b)、164.312(e)(2)(ii);PCI:3.4,10.1、10.2.1、10.2.310.2.2、、10.2.4、10.2.5、10.3.1、10.3.2、10.3.3、10.3.4、、10.3.5、、10.3.6、8.2.1; |
| ams-nist-cis-redshift-cluster-configuration-check | RedShift | 組態變更 | 報告 | CIS:CIS.6,CIS.13,CIS.5;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-1,PR.PT-1;HIPAA:164.312(a)(2)(iv),164.312(b),164.312(e)(2)(ii);PCI:3.4,8.2.1,10.1,10.2.1、10.2.2、10.2.3、10.2.4、10.2.5、、10.3.1、10.3.3、10.3.2、10.3.410.3.5、10.3.6; |
| ams-nist-cis-redshift-cluster-public-access-check | RedShift | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-redshift-require-tls-ssl | RedShift | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.3,4.1; |
| ams-nist-cis-root-account-hardware-mfa-enabled | IAM | 定期 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| ams-nist-cis-root-account-mfa-enabled | IAM | 定期 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| ams-nist-cis-s3-bucket-default-lock-enabled | S3 | 組態變更 | 報告 | CIS:CIS.14,CIS.13;NIST-CSF:ID.BE-5,PR.PT-5,RC.RP-1;HEAA:NA;PCI:NA; |
| ams-nist-cis-s3-bucket-logging-enabled | S3 | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.2.1、10.2.2、10.2.3、10.2.4、10.2.5、10.2.7、10.3.110.3.2、10.3.3、10.3.4、、10.3.5、10.3.6; |
| ams-nist-cis-s3-bucket-replication-enabled | S3 | 組態變更 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:2.2,10.5.3; |
| ams-nist-cis-s3-bucket-ssl-requests-only | S3 | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(c)(2)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.2,4.1,8.2.1; |
| ams-nist-cis-s3-bucket-versioning-enabled | S3 | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.DS-6,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B),164.312(c)(1),164.312(c)(2);PCI:10.5.3; |
| ams-nist-cis-sagemaker-endpoint-configuration-kms-key-configured | SageMaker | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| ams-nist-cis-sagemaker-notebook-instance-kms-key-configured | SageMaker | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| ams-nist-cis-sagemaker-notebook-no-direct-internet-access | SageMaker | 定期 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.ACPR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| ams-nist-cis-secretsmanager-rotation-enabled-check | Secrets Manager | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:NA; |
| ams-nist-cis-secretsmanager-scheduled-rotation-success-check | Secrets Manager | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:NA; |
| ams-nist-cis-sns-encrypted-kms | SNS | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:8.2.1; |
| ams-nist-cis-vpc-sg-open-only-to-authorized-ports | VPC | 組態變更 | 報告 | CIS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312(e)(1);PCI:1.2、1.3、1.2.1、1.3.1、1.3.2、2.2.2; |
| ams-nist-vpc-vpn-2-tunnels-up | VPC | 組態變更 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i);PCI:NA; |
| ams-cis-ec2-ebs-encryption-by-default | EC2 | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,8.2.1; |
| ams-cis-rds-snapshot-encrypted | RDS | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| ams-cis-redshift-cluster-maintenancesettings-check | RedShift | 組態變更 | 報告 | CIS:CIS.5;NIST-CSF:PR.DS-4,PR.IP-1,PR.IP-4;HIPAA:164.308(a)(5)(ii)(A),164.308(a)(7)(ii)(A);PCI:6.2; |
在 Accelerate 中回應違規
所有組態規則違規都會出現在您的組態報告中。這是通用回應。根據規則的修復類別 (嚴重性),AMS 可能會採取其他動作,摘要如下表所示。如需如何為特定規則自訂動作程式碼的詳細資訊,請參閱 自訂問題清單回應。
修復動作
| 動作代碼 | AMS 動作 |
|---|---|
| Report | |
| Incident | |
| Remediate |
請求其他說明
注意
AMS 可以為您修復任何違規,無論其修復類別為何。若要請求協助,請提交服務請求,並指出您希望 AMS 使用「作為 AMS 設定規則修復的一部分」等評論來修復哪些資源,請修復非投訴資源 RESOURCE_ARNS_OR_IDs 資源 ARNs/IDs>,在帳戶中設定規則 CONFIG_RULE_NAME,並新增必要的輸入來修復違規。
AMS Accelerate 具有 AWS Systems Manager 自動化文件和 Runbook 的程式庫,可協助修復不合規的資源。
新增至 Config 報告
AMS 會產生 Config 報告,追蹤您帳戶中所有規則和資源的合規狀態。您可以從 CSDM 請求報告。您也可以從 AWS Config 主控台、 AWS CLI 或 AWS Config API 檢閱合規狀態。您的 Config 報告包括:
在您的環境中發現潛在威脅和設定錯誤的首要不合規資源
一段時間內資源和組態規則的合規
設定規則描述、規則嚴重性,以及修正不合規資源的建議修補步驟
當任何資源進入不合規狀態時,資源狀態 (和規則狀態) 會在您的 Config 報告中變成不合規。如果規則屬於 Config Report Only 修復類別,根據預設,AMS 不會採取進一步動作。您可以隨時建立服務請求,向 AMS 請求其他協助或修復。
如需詳細資訊,請參閱AWS 組態報告。
Accelerate 中的自動事件報告
對於中度嚴重的規則違規,AMS 會自動建立事件報告,通知您資源已進入不合規狀態,並詢問您要執行的動作。在回應事件時,您有下列選項:
請求 AMS 修復事件中列出的不合規資源。然後,我們會嘗試修復不合規的資源,並在解決基礎事件後通知您。
您可以在 主控台或透過自動化部署系統 (例如 CI/CD 管道範本更新) 手動解決不合規項目;然後,您可以解決事件。不合規資源會根據規則的排程重新評估,如果資源評估為不合規,則會建立新的事件報告。
您可以選擇不解析不合規資源,只解析事件。如果您稍後更新資源的組態, AWS Config 會觸發重新評估,並再次提醒您評估該資源的不合規情況。
Accelerate 中的自動修復
最關鍵的規則屬於 Auto Remediate 類別。不遵守這些規則可能會嚴重影響帳戶的安全性和可用性。當資源違反下列其中一個規則時:
AMS 會自動透過事件報告通知您。
AMS 使用我們的自動化 SSM 文件開始自動化修復。
AMS 會在自動修復成功或失敗時更新事件報告。
如果自動修復失敗,AMS 工程師會調查問題。
在 Accelerate 中建立規則例外狀況
AWS Config 規則 資源例外狀況功能可讓您針對特定規則禁止報告特定、不合規的資源。
注意
豁免的資源仍會在您的 Config Service AWS 主控台中顯示為不合規。豁免的資源會在 Config 報告 (resource_exception:True) 中出現特殊旗標。產生報告時,您的 CSDMs 可以根據該資料欄篩選掉這些資源。
如果您有已知不合規的資源,您可以在其組態報告中消除特定組態規則的特定資源。若要執行此作業:
提交服務請求以針對您的帳戶加速,其中包含要從報告中排除的組態規則和資源清單。您必須提供明確的業務理由 (例如,不需要報告未備份 resource_name_1 和 resource_name_2,因為我們不希望備份它們)。如需提交 Accelerate 服務請求的說明,請參閱 在 Accelerate 中建立服務請求。
將下列輸入 (針對每個資源新增包含所有必要欄位的個別區塊,如下所示) 貼到請求中,然後提交:
[ { "resource_name": "resource_name_1", "config_rule_name": "config_rule_name_1", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" }, { "resource_name": "resource_name_2", "config_rule_name": "config_rule_name_2", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" } ]
降低 Accelerate 中的 AWS Config 成本
您可以使用 選項定期記錄AWS::EC2::Instance資源類型,以減少 AWS Config 成本。定期記錄會每 24 小時擷取一次資源的最新組態變更,減少交付的變更數量。啟用時, AWS Config 只會在 24 小時期間結束時記錄資源的最新組態。這可讓您根據特定營運規劃、合規和稽核使用案例量身打造組態資料,而不需要持續監控。只有在您有依賴暫時性架構的應用程式時,才建議進行此變更,這表示您持續擴展或縮減執行個體的數量。
若要選擇加入AWS::EC2::Instance資源類型的定期記錄,請聯絡您的 AMS 交付團隊。
