本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Security Hub CSPM 中的基礎安全最佳實務標準
由 AWS 和業界專業人員開發, AWS 基礎安全最佳實務 (FSBP) 標準是組織安全最佳實務的編譯,無論組織部門或大小。它提供一組控制項,可偵測 AWS 帳戶 和資源何時偏離安全最佳實務。它還提供有關如何改善和維護組織安全狀態的規範性指導。
在 AWS Security Hub CSPM 中, AWS 基礎安全最佳實務標準包含持續評估 AWS 帳戶 和 工作負載的控制項,並協助您識別偏離安全最佳實務的領域。這些控制項包含來自多個 資源的安全最佳實務 AWS 服務。每個控制項都會指派一個類別,以反映控制項套用的安全函數。如需類別和其他詳細資訊的清單,請參閱 [控制類別](control-categories.md)。
## 適用於標準的控制項
以下清單指定哪些 AWS Security Hub CSPM 控制項適用於基礎安全最佳實務標準 AWS (v1.0.0)。若要檢閱控制項的詳細資訊,請選擇控制項。
[【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)
[【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約](acm-controls.md#acm-1)
[【ACM.2】 由 ACM 管理的 RSA 憑證應使用至少 2,048 位元的金鑰長度](acm-controls.md#acm-2)
[【APIGateway.1] 應啟用 API Gateway REST 和 WebSocket API 執行記錄](apigateway-controls.md#apigateway-1)
[【APIGateway.2] API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證](apigateway-controls.md#apigateway-2)
[【APIGateway.3] API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤](apigateway-controls.md#apigateway-3)
[【APIGateway.4] API Gateway 應與 WAF Web ACL 建立關聯](apigateway-controls.md#apigateway-4)
[【APIGateway.5] API Gateway REST API 快取資料應靜態加密](apigateway-controls.md#apigateway-5)
[【APIGateway.8] API Gateway 路由應指定授權類型](apigateway-controls.md#apigateway-8)
[【APIGateway.9] 應為 API Gateway V2 階段設定存取記錄](apigateway-controls.md#apigateway-9)
[【APIGateway.10] API Gateway V2 整合應使用 HTTPS 進行私有連線](apigateway-controls.md#apigateway-10)
[【AppSync.1] AWS AppSync API 快取應靜態加密](appsync-controls.md#appsync-1)
[【AppSync.2] AWS AppSync 應該啟用欄位層級記錄](appsync-controls.md#appsync-2)
[【AppSync.5] AWS AppSync GraphQL APIs不應使用 API 金鑰進行身分驗證](appsync-controls.md#appsync-5)
[【AppSync.6] AWS AppSync API 快取應在傳輸中加密](appsync-controls.md#appsync-6)
[【Athena.4】 Athena 工作群組應該已啟用記錄](athena-controls.md#athena-4)
[【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查](autoscaling-controls.md#autoscaling-1)
[【AutoScaling.2] Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域](autoscaling-controls.md#autoscaling-2)
[【AutoScaling.3] Auto Scaling 群組啟動組態應將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
[【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址](autoscaling-controls.md#autoscaling-5)
[【AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型](autoscaling-controls.md#autoscaling-6)
[【AutoScaling.9] Amazon EC2 Auto Scaling 群組應使用 Amazon EC2 啟動範本](autoscaling-controls.md#autoscaling-9)
[【Backup.1】 AWS Backup 復原點應靜態加密](backup-controls.md#backup-1)
[【CloudFormation.3] CloudFormation 堆疊應啟用終止保護](cloudformation-controls.md#cloudformation-3)
[【CloudFormation.4] CloudFormation 堆疊應具有相關聯的服務角色](cloudformation-controls.md#cloudformation-4)
[【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1)
[【CloudFront.3] CloudFront 分佈應要求傳輸中加密](cloudfront-controls.md#cloudfront-3)
[【CloudFront.4] CloudFront 分佈應設定原始伺服器容錯移轉](cloudfront-controls.md#cloudfront-4)
[【CloudFront.5] CloudFront 分佈應該已啟用記錄](cloudfront-controls.md#cloudfront-5)
[【CloudFront.6] CloudFront 分佈應該啟用 WAF](cloudfront-controls.md#cloudfront-6)
[【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7)
[【CloudFront.8] CloudFront 分佈應使用 SNI 來提供 HTTPS 請求](cloudfront-controls.md#cloudfront-8)
[【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器](cloudfront-controls.md#cloudfront-9)
[【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10)
[【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器](cloudfront-controls.md#cloudfront-12)
[【CloudFront.13] CloudFront 分佈應使用原始存取控制](cloudfront-controls.md#cloudfront-13)
[【CloudFront.15] CloudFront 分佈應使用建議的 TLS 安全政策](cloudfront-controls.md#cloudfront-15)
[【CloudFront.16] CloudFront 分佈應使用 Lambda 函數 URL 原始伺服器的原始存取控制](cloudfront-controls.md#cloudfront-16)
[【CloudFront.17] CloudFront 分佈應針對簽章URLs 和 Cookie 使用信任的金鑰群組](cloudfront-controls.md#cloudfront-17)
[【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)
[【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)
[【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5)
[【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料](codebuild-controls.md#codebuild-1)
[【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料](codebuild-controls.md#codebuild-2)
[【CodeBuild.3] CodeBuild S3 日誌應加密](codebuild-controls.md#codebuild-3)
[【CodeBuild.4] CodeBuild AWS Config專案環境應具有記錄 URL](codebuild-controls.md#codebuild-4)
[【CodeBuild.7] CodeBuild 報告群組匯出應靜態加密](codebuild-controls.md#codebuild-7)
[【Cognito.2】 Cognito 身分集區不應允許未驗證的身分](cognito-controls.md#cognito-2)
[【Cognito.3】 Cognito 使用者集區的密碼政策應具有強大的組態](cognito-controls.md#cognito-3)
[【Cognito.4】 Cognito 使用者集區應以完整功能強制執行模式啟用威脅防護,以進行自訂身分驗證](cognito-controls.md#cognito-4)
[【Cognito.5】 應為 Cognito 使用者集區啟用 MFA](cognito-controls.md#cognito-5)
[【Cognito.6】 Cognito 使用者集區應該啟用刪除保護](cognito-controls.md#cognito-6)
[【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)
[【Connect.2】 Amazon Connect 執行個體應該啟用 CloudWatch 記錄](connect-controls.md#connect-2)
[【DataFirehose.1] Firehose 交付串流應靜態加密](datafirehose-controls.md#datafirehose-1)
[【DataSync.1] DataSync 任務應該已啟用記錄](datasync-controls.md#datasync-1)
[【DMS.1】 Database Migration Service 複寫執行個體不應為公有](dms-controls.md#dms-1)
[【DMS.6】 DMS 複寫執行個體應啟用自動次要版本升級](dms-controls.md#dms-6)
[【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-7)
[【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-8)
[【DMS.9】 DMS 端點應使用 SSL](dms-controls.md#dms-9)
[【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權](dms-controls.md#dms-10)
[【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制](dms-controls.md#dms-11)
[【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS](dms-controls.md#dms-12)
[【DMS.13】 DMS 複寫執行個體應設定為使用多個可用區域](dms-controls.md#dms-13)
[【DocumentDB.1] Amazon DocumentDB 叢集應靜態加密](documentdb-controls.md#documentdb-1)
[【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期](documentdb-controls.md#documentdb-2)
[【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開](documentdb-controls.md#documentdb-3)
[【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs](documentdb-controls.md#documentdb-4)
[【DocumentDB.5] Amazon DocumentDB 叢集應該啟用刪除保護](documentdb-controls.md#documentdb-5)
[【DocumentDB.6] Amazon DocumentDB 叢集應在傳輸中加密](documentdb-controls.md#documentdb-6)
[【DynamoDB.1] DynamoDB 資料表應隨著需求自動擴展容量](dynamodb-controls.md#dynamodb-1)
[【DynamoDB.2] DynamoDB 資料表應該啟用point-in-time復原](dynamodb-controls.md#dynamodb-2)
[【DynamoDB.3] DynamoDB Accelerator (DAX) 叢集應靜態加密](dynamodb-controls.md#dynamodb-3)
[【DynamoDB.6] DynamoDB 資料表應該已啟用刪除保護](dynamodb-controls.md#dynamodb-6)
[【DynamoDB.7] DynamoDB Accelerator 叢集應在傳輸中加密](dynamodb-controls.md#dynamodb-7)
[【EC2.1】 Amazon EBS 快照不應可公開還原](ec2-controls.md#ec2-1)
[【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)
[【EC2.3】 連接的 Amazon EBS 磁碟區應靜態加密](ec2-controls.md#ec2-3)
[【EC2.4】 已停止的 EC2 執行個體應在指定的期間之後移除](ec2-controls.md#ec2-4)
[【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)
[【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7)
[【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8)
[【EC2.9】 Amazon EC2 執行個體不應具有公有 IPv4 地址](ec2-controls.md#ec2-9)
[【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點](ec2-controls.md#ec2-10)
[【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址](ec2-controls.md#ec2-15)
[【EC2.16】 應該移除未使用的網路存取控制清單](ec2-controls.md#ec2-16)
[【EC2.17】 Amazon EC2 執行個體不應使用多個 ENIs](ec2-controls.md#ec2-17)
[【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量](ec2-controls.md#ec2-18)
[【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](ec2-controls.md#ec2-19)
[【EC2.20】 用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動](ec2-controls.md#ec2-20)
[【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)
[【EC2.23】 Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求](ec2-controls.md#ec2-23)
[【EC2.24】 不應使用 Amazon EC2 全虛擬化執行個體類型](ec2-controls.md#ec2-24)
[【EC2.25】 Amazon EC2 啟動範本不應將公IPs 指派給網路介面](ec2-controls.md#ec2-25)
[【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄](ec2-controls.md#ec2-51)
[【EC2.55】 VPCs應使用 ECR API 的介面端點進行設定](ec2-controls.md#ec2-55)
[【EC2.56】 VPCs應使用 Docker Registry 的介面端點進行設定](ec2-controls.md#ec2-56)
[【EC2.57】 VPCs應使用 Systems Manager 的介面端點進行設定](ec2-controls.md#ec2-57)
[【EC2.58】 VPCs應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定](ec2-controls.md#ec2-58)
[【EC2.60】 VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定](ec2-controls.md#ec2-60)
[【EC2.170】 EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-170)
[【EC2.171】 EC2 VPN 連線應該已啟用記錄](ec2-controls.md#ec2-171)
[【EC2.172】 EC2 VPC 封鎖公開存取設定應封鎖網際網路閘道流量](ec2-controls.md#ec2-172)
[【EC2.173】 具有啟動參數的 EC2 Spot 機群請求應啟用已連接 EBS 磁碟區的加密](ec2-controls.md#ec2-173)
[【EC2.180】 EC2 網路介面應啟用來源/目的地檢查](ec2-controls.md#ec2-180)
[【EC2.181】 EC2 啟動範本應為連接的 EBS 磁碟區啟用加密](ec2-controls.md#ec2-181)
[【EC2.182】 不應公開存取 Amazon EBS 快照](ec2-controls.md#ec2-182)
[【ECR.1】 ECR 私有儲存庫應設定映像掃描](ecr-controls.md#ecr-1)
[【ECR.2】 ECR 私有儲存庫應設定標籤不可變性](ecr-controls.md#ecr-2)
[【ECR.3】 ECR 儲存庫應至少設定一個生命週期政策](ecr-controls.md#ecr-3)
[【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義](ecs-controls.md#ecs-1)
[【ECS.2】 ECS 服務不應自動為其指派公有 IP 地址](ecs-controls.md#ecs-2)
[【ECS.3】 ECS 任務定義不應共用主機的程序命名空間](ecs-controls.md#ecs-3)
[【ECS.4】 ECS 容器應以非特殊權限執行](ecs-controls.md#ecs-4)
[【ECS.5】 ECS 任務定義應將容器設定為僅限對根檔案系統的唯讀存取](ecs-controls.md#ecs-5)
[【ECS.8】 不應將秘密做為容器環境變數傳遞](ecs-controls.md#ecs-8)
[【ECS.9】 ECS 任務定義應具有記錄組態](ecs-controls.md#ecs-9)
[【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行](ecs-controls.md#ecs-10)
[【ECS.12】 ECS 叢集應使用 Container Insights](ecs-controls.md#ecs-12)
[【ECS.16】 ECS 任務集不應自動指派公有 IP 地址](ecs-controls.md#ecs-16)
[【ECS.18】 ECS 任務定義應針對 EFS 磁碟區使用傳輸中加密](ecs-controls.md#ecs-18)
[【ECS.19】 ECS 容量提供者應啟用受管終止保護](ecs-controls.md#ecs-19)
[【ECS.20】 ECS 任務定義應在 Linux 容器定義中設定非根使用者](ecs-controls.md#ecs-20)
[【ECS.21】 ECS 任務定義應在 Windows 容器定義中設定非管理員使用者](ecs-controls.md#ecs-21)
[【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1)
[【EFS.2】 Amazon EFS 磁碟區應位於備份計劃中](efs-controls.md#efs-2)
[【EFS.3】 EFS 存取點應強制執行根目錄](efs-controls.md#efs-3)
[【EFS.4】 EFS 存取點應強制執行使用者身分](efs-controls.md#efs-4)
[【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯](efs-controls.md#efs-6)
[【EFS.7】 EFS 檔案系統應該啟用自動備份](efs-controls.md#efs-7)
[【EFS.8】 EFS 檔案系統應靜態加密](efs-controls.md#efs-8)
[【EKS.1】 不應公開存取 EKS 叢集端點](eks-controls.md#eks-1)
[【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)
[【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密](eks-controls.md#eks-3)
[【EKS.8】 EKS 叢集應該啟用稽核記錄](eks-controls.md#eks-8)
[【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份](elasticache-controls.md#elasticache-1)
[【ElastiCache.2] ElastiCache 叢集應該啟用自動次要版本升級](elasticache-controls.md#elasticache-2)
[【ElastiCache.3] ElastiCache 複寫群組應該啟用自動容錯移轉](elasticache-controls.md#elasticache-3)
[【ElastiCache.4] ElastiCache 複寫群組應靜態加密](elasticache-controls.md#elasticache-4)
[【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密](elasticache-controls.md#elasticache-5)
[【ElastiCache.6] 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH](elasticache-controls.md#elasticache-6)
[【ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組](elasticache-controls.md#elasticache-7)
[【ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強型運作狀態報告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
[【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
[【ElasticBeanstalk.3] Elastic Beanstalk 應將日誌串流至 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
[【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS](elb-controls.md#elb-1)
[【ELB.2】 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager](elb-controls.md#elb-2)
[【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定](elb-controls.md#elb-3)
[【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭](elb-controls.md#elb-4)
[【ELB.5】 應啟用應用程式和 Classic Load Balancer 記錄](elb-controls.md#elb-5)
[【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護](elb-controls.md#elb-6)
[【ELB.7】 Classic Load Balancer 應啟用連線耗盡](elb-controls.md#elb-7)
[【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應使用預先定義的安全政策,該政策具有強烈驅動](elb-controls.md#elb-8)
[【ELB.9】 Classic Load Balancer 應啟用跨區域負載平衡](elb-controls.md#elb-9)
[【ELB.10】 Classic Load Balancer 應跨越多個可用區域](elb-controls.md#elb-10)
[【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-12)
[【ELB.13】 應用程式、網路和閘道負載平衡器應跨越多個可用區域](elb-controls.md#elb-13)
[【ELB.14】 Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-14)
[【ELB.17】 具有接聽程式的應用程式和網路負載平衡器應使用建議的安全政策](elb-controls.md#elb-17)
[【ELB.18】 應用程式和 Network Load Balancer 接聽程式應使用安全通訊協定來加密傳輸中的資料](elb-controls.md#elb-18)
[【ELB.21】 應用程式和 Network Load Balancer 目標群組應使用加密的運作狀態檢查通訊協定](elb-controls.md#elb-21)
[【ELB.22】 ELB 目標群組應使用加密傳輸通訊協定](elb-controls.md#elb-22)
[【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址](emr-controls.md#emr-1)
[【EMR.2】 應啟用 Amazon EMR 封鎖公開存取設定](emr-controls.md#emr-2)
[【EMR.3】 Amazon EMR 安全組態應靜態加密](emr-controls.md#emr-3)
[【EMR.4】 Amazon EMR 安全組態應在傳輸中加密](emr-controls.md#emr-4)
[【ES.1】 Elasticsearch 網域應該啟用靜態加密](es-controls.md#es-1)
[【ES.2】 不應公開存取 Elasticsearch 網域](es-controls.md#es-2)
[【ES.3】 Elasticsearch 網域應該加密節點之間傳送的資料](es-controls.md#es-3)
[【ES.4】 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤](es-controls.md#es-4)
[【ES.5】 Elasticsearch 網域應該啟用稽核記錄](es-controls.md#es-5)
[【ES.6】 Elasticsearch 網域應至少具有三個資料節點](es-controls.md#es-6)
[【ES.7】 Elasticsearch 網域應該至少設定三個專用主節點](es-controls.md#es-7)
[【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線](es-controls.md#es-8)
[【EventBridge.3] EventBridge 自訂事件匯流排應連接以資源為基礎的政策](eventbridge-controls.md#eventbridge-3)
[【FSx.1] FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區](fsx-controls.md#fsx-1)
[【FSx.2] FSx for Lustre 檔案系統應設定為將標籤複製到備份](fsx-controls.md#fsx-2)
[【FSx.3] FSx for OpenZFS 檔案系統應設定為異地同步備份部署](fsx-controls.md#fsx-3)
[【FSx.4] FSx for NetApp ONTAP 檔案系統應設定為異地同步備份部署](fsx-controls.md#fsx-4)
[【FSx.5] FSx for Windows File Server 檔案系統應設定為異地同步備份部署](fsx-controls.md#fsx-5)
[【Glue.3】 AWS Glue 機器學習轉換應該靜態加密](glue-controls.md#glue-3)
[【Glue.4】 AWS Glue Spark 任務應在支援的 版本上執行 AWS Glue](glue-controls.md#glue-4)
[【GuardDuty.1] 應啟用 GuardDuty](guardduty-controls.md#guardduty-1)
[【GuardDuty.5] 應啟用 GuardDuty EKS 稽核日誌監控](guardduty-controls.md#guardduty-5)
[【GuardDuty.6] 應啟用 GuardDuty Lambda 保護](guardduty-controls.md#guardduty-6)
[【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控](guardduty-controls.md#guardduty-7)
[【GuardDuty.8] 應啟用 EC2 的 GuardDuty 惡意軟體防護](guardduty-controls.md#guardduty-8)
[【GuardDuty.9] 應啟用 GuardDuty RDS 保護](guardduty-controls.md#guardduty-9)
[【GuardDuty.10] 應啟用 GuardDuty S3 保護](guardduty-controls.md#guardduty-10)
[【GuardDuty.11] 應啟用 GuardDuty 執行期監控](guardduty-controls.md#guardduty-11)
[【GuardDuty.12] 應啟用 GuardDuty ECS 執行期監控](guardduty-controls.md#guardduty-12)
[【GuardDuty.13] 應啟用 GuardDuty EC2 執行期監控](guardduty-controls.md#guardduty-13)
[【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1)
[【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
[【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)
[【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)
[[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)
[[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)
[【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7)
[【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)
[【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作](iam-controls.md#iam-21)
[【Inspector.1】 應啟用 Amazon Inspector EC2 掃描](inspector-controls.md#inspector-1)
[【Inspector.2】 應啟用 Amazon Inspector ECR 掃描](inspector-controls.md#inspector-2)
[【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描](inspector-controls.md#inspector-3)
[【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描](inspector-controls.md#inspector-4)
[【Kinesis.1】 Kinesis 串流應靜態加密](kinesis-controls.md#kinesis-1)
[【Kinesis.3】 Kinesis 串流應具有足夠的資料保留期](kinesis-controls.md#kinesis-3)
[【KMS.1】 IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作](kms-controls.md#kms-1)
[【KMS.2】 IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策](kms-controls.md#kms-2)
[【KMS.3】 AWS KMS keys 不應意外刪除](kms-controls.md#kms-3)
[【KMS.5】 不應公開存取 KMS 金鑰](kms-controls.md#kms-5)
[【Lambda.1】 Lambda 函數政策應禁止公開存取](lambda-controls.md#lambda-1)
[【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)
[【Lambda.5】 VPC Lambda 函數應該在多個可用區域中操作](lambda-controls.md#lambda-5)
[【Macie.1】 應啟用 Amazon Macie](macie-controls.md#macie-1)
[【Macie.2】 應啟用 Macie 自動化敏感資料探索](macie-controls.md#macie-2)
[【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch](mq-controls.md#mq-2)
[【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級](mq-controls.md#mq-3)
[【MSK.1】 MSK 叢集應在代理程式節點之間傳輸時加密](msk-controls.md#msk-1)
[【MSK.3】 MSK Connect 連接器應在傳輸中加密](msk-controls.md#msk-3)
[【MSK.4】 MSK 叢集應停用公有存取](msk-controls.md#msk-4)
[【MSK.5】 MSK 連接器應該已啟用記錄](msk-controls.md#msk-5)
[【MSK.6】 MSK 叢集應停用未驗證的存取](msk-controls.md#msk-6)
[【Neptune.1】 Neptune 資料庫叢集應靜態加密](neptune-controls.md#neptune-1)
[【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](neptune-controls.md#neptune-2)
[【Neptune.3】 Neptune 資料庫叢集快照不應公開](neptune-controls.md#neptune-3)
[【Neptune.4】 Neptune 資料庫叢集應啟用刪除保護](neptune-controls.md#neptune-4)
[【Neptune.5】 Neptune 資料庫叢集應該啟用自動備份](neptune-controls.md#neptune-5)
[【Neptune.6】 Neptune 資料庫叢集快照應靜態加密](neptune-controls.md#neptune-6)
[【Neptune.7】 Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證](neptune-controls.md#neptune-7)
[【Neptune.8】 Neptune 資料庫叢集應設定為將標籤複製到快照](neptune-controls.md#neptune-8)
[【NetworkFirewall.2] 應啟用網路防火牆記錄](networkfirewall-controls.md#networkfirewall-2)
[【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組](networkfirewall-controls.md#networkfirewall-3)
[【NetworkFirewall.4] Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包](networkfirewall-controls.md#networkfirewall-4)
[【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包](networkfirewall-controls.md#networkfirewall-5)
[【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空](networkfirewall-controls.md#networkfirewall-6)
[【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護](networkfirewall-controls.md#networkfirewall-9)
[【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護](networkfirewall-controls.md#networkfirewall-10)
[【Opensearch.1】 OpenSearch 網域應該啟用靜態加密](opensearch-controls.md#opensearch-1)
[【Opensearch.2】 不應公開存取 OpenSearch 網域](opensearch-controls.md#opensearch-2)
[【Opensearch.3】 OpenSearch 網域應該加密節點之間傳送的資料](opensearch-controls.md#opensearch-3)
[【Opensearch.4】 應啟用 CloudWatch Logs 的 OpenSearch 網域錯誤記錄](opensearch-controls.md#opensearch-4)
[【Opensearch.5】 OpenSearch 網域應該啟用稽核記錄](opensearch-controls.md#opensearch-5)
[【Opensearch.6】 OpenSearch 網域應至少具有三個資料節點](opensearch-controls.md#opensearch-6)
[【Opensearch.7】 OpenSearch 網域應啟用精細存取控制](opensearch-controls.md#opensearch-7)
[【Opensearch.8】 應使用最新的 TLS 安全政策加密 OpenSearch 網域的連線](opensearch-controls.md#opensearch-8)
[【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10)
[【PCA.1】應停用 AWS 私有 CA 根憑證授權單位](pca-controls.md#pca-1)
[【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢](route53-controls.md#route53-2)
[【RDS.1】 RDS 快照應為私有](rds-controls.md#rds-1)
[【RDS.2】 RDS 資料庫執行個體應禁止公開存取,由 PubliclyAccessible 組態決定](rds-controls.md#rds-2)
[[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3)
[【RDS.4】 RDS 叢集快照和資料庫快照應靜態加密](rds-controls.md#rds-4)
[【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域](rds-controls.md#rds-5)
[【RDS.6】 應為 RDS 資料庫執行個體設定增強型監控](rds-controls.md#rds-6)
[【RDS.7】 RDS 叢集應該啟用刪除保護](rds-controls.md#rds-7)
[【RDS.8】 RDS 資料庫執行個體應啟用刪除保護](rds-controls.md#rds-8)
[【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-9)
[【RDS.10】 應為 RDS 執行個體設定 IAM 身分驗證](rds-controls.md#rds-10)
[【RDS.11】 RDS 執行個體應該啟用自動備份](rds-controls.md#rds-11)
[【RDS.12】 應為 RDS 叢集設定 IAM 身分驗證](rds-controls.md#rds-12)
[【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13)
[【RDS.14】 Amazon Aurora 叢集應該已啟用恢復](rds-controls.md#rds-14)
[【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集](rds-controls.md#rds-15)
[【RDS.16】 Aurora 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-16)
[【RDS.17】 RDS 資料庫執行個體應設定為將標籤複製到快照](rds-controls.md#rds-17)
[【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-19)
[【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-20)
[【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-21)
[【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-22)
[【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠](rds-controls.md#rds-23)
[【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱](rds-controls.md#rds-24)
[【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱](rds-controls.md#rds-25)
[【RDS.27】 RDS 資料庫叢集應靜態加密](rds-controls.md#rds-27)
[【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](rds-controls.md#rds-34)
[【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級](rds-controls.md#rds-35)
[【RDS.36】 RDS for PostgreSQL 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-36)
[【RDS.37】 Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-37)
[【RDS.40】 RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-40)
[【RDS.41】 RDS for SQL Server 資料庫執行個體應在傳輸中加密](rds-controls.md#rds-41)
[【RDS.42】 RDS for MariaDB 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-42)
[【RDS.43】 RDS 資料庫代理應該需要連線的 TLS 加密](rds-controls.md#rds-43)
[【RDS.44】 RDS for MariaDB 資料庫執行個體應在傳輸中加密](rds-controls.md#rds-44)
[【RDS.45】 Aurora MySQL 資料庫叢集應該啟用稽核記錄](rds-controls.md#rds-45)
[【RDS.46】 RDS 資料庫執行個體不應部署在具有網際網路閘道路由的公有子網路中](rds-controls.md#rds-46)
[【RDS.47】 RDS for PostgreSQL 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-47)
[【RDS.48】 RDS for MySQL 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-48)
[【RDS.50】 RDS 資料庫叢集應設定足夠的備份保留期間](rds-controls.md#rds-50)
[【Redshift.1】 Amazon Redshift 叢集應禁止公開存取](redshift-controls.md#redshift-1)
[【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密](redshift-controls.md#redshift-2)
[【Redshift.3】 Amazon Redshift 叢集應該啟用自動快照](redshift-controls.md#redshift-3)
[【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄](redshift-controls.md#redshift-4)
[【Redshift.6】 Amazon Redshift 應已啟用主要版本的自動升級](redshift-controls.md#redshift-6)
[【Redshift.7】 Redshift 叢集應使用增強型 VPC 路由](redshift-controls.md#redshift-7)
[【Redshift.8】 Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱](redshift-controls.md#redshift-8)
[【Redshift.10】 應靜態加密 Redshift 叢集](redshift-controls.md#redshift-10)
[【Redshift.15】 Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠](redshift-controls.md#redshift-15)
[【Redshift.18】 Redshift 叢集應啟用異地同步備份部署](redshift-controls.md#redshift-18)
[【RedshiftServerless.1] Amazon Redshift Serverless 工作群組應使用增強型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
[【RedshiftServerless.2] 必須使用 SSL 連線到 Redshift Serverless 工作群組](redshiftserverless-controls.md#redshiftserverless-2)
[【RedshiftServerless.3] Redshift Serverless 工作群組應禁止公開存取](redshiftserverless-controls.md#redshiftserverless-3)
[【RedshiftServerless.5] Redshift Serverless 命名空間不應使用預設的管理員使用者名稱](redshiftserverless-controls.md#redshiftserverless-5)
[【RedshiftServerless.6] Redshift Serverless 命名空間應將日誌匯出至 CloudWatch Logs](redshiftserverless-controls.md#redshiftserverless-6)
[【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)
[【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取](s3-controls.md#s3-2)
[【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取](s3-controls.md#s3-3)
[【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)
[【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6)
[【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)
[【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9)
[【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取](s3-controls.md#s3-12)
[【S3.13】 S3 一般用途儲存貯體應具有生命週期組態](s3-controls.md#s3-13)
[【S3.19】 S3 存取點應啟用封鎖公開存取設定](s3-controls.md#s3-19)
[【S3.24】 S3 多區域存取點應啟用封鎖公開存取設定](s3-controls.md#s3-24)
[【S3.25】 S3 目錄儲存貯體應該具有生命週期組態](s3-controls.md#s3-25)
[【SageMaker.1] Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取](sagemaker-controls.md#sagemaker-1)
[【SageMaker.2] 應在自訂 VPC 中啟動 SageMaker 筆記本執行個體](sagemaker-controls.md#sagemaker-2)
[【SageMaker.3] 使用者不應擁有 SageMaker 筆記本執行個體的根存取權](sagemaker-controls.md#sagemaker-3)
[【SageMaker.4] SageMaker 端點生產變體的初始執行個體計數應大於 1](sagemaker-controls.md#sagemaker-4)
[【SageMaker.5] SageMaker 模型應該啟用網路隔離](sagemaker-controls.md#sagemaker-5)
[【SageMaker.8] SageMaker 筆記本執行個體應在支援的平台上執行](sagemaker-controls.md#sagemaker-8)
[【SageMaker.9] SageMaker 資料品質任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-9)
[【SageMaker.10] SageMaker 模型可解釋性任務定義應啟用容器間流量加密](sagemaker-controls.md#sagemaker-10)
[【SageMaker.11] SageMaker 資料品質任務定義應該啟用網路隔離](sagemaker-controls.md#sagemaker-11)
[【SageMaker.12] SageMaker 模型偏差任務定義應該啟用網路隔離](sagemaker-controls.md#sagemaker-12)
[【SageMaker.13] SageMaker 模型品質任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-13)
[【SageMaker.14] SageMaker 監控排程應該啟用網路隔離](sagemaker-controls.md#sagemaker-14)
[【SageMaker.15] SageMaker 模型偏差任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-15)
[【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換](secretsmanager-controls.md#secretsmanager-1)
[【SecretsManager.2] 設定自動輪換的 Secrets Manager 秘密應能成功輪換](secretsmanager-controls.md#secretsmanager-2)
[【SecretsManager.3] 移除未使用的 Secrets Manager 秘密](secretsmanager-controls.md#secretsmanager-3)
[【SecretsManager.4] Secrets Manager 秘密應在指定的天數內輪換](secretsmanager-controls.md#secretsmanager-4)
[【ServiceCatalog.1] Service Catalog 產品組合只能在 AWS 組織內共用](servicecatalog-controls.md#servicecatalog-1)
[【SES.3】 SES 組態集應啟用 TLS 以傳送電子郵件](ses-controls.md#ses-3)
[【SNS.4】 SNS 主題存取政策不應允許公開存取](sns-controls.md#sns-4)
[【SQS.1】 Amazon SQS 佇列應靜態加密](sqs-controls.md#sqs-1)
[【SQS.3】 SQS 佇列存取政策不應允許公開存取](sqs-controls.md#sqs-3)
[【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager](ssm-controls.md#ssm-1)
[【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態](ssm-controls.md#ssm-2)
[【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態](ssm-controls.md#ssm-3)
[【SSM.4】 SSM 文件不應公開](ssm-controls.md#ssm-4)
[【SSM.6】 SSM Automation 應該啟用 CloudWatch 記錄](ssm-controls.md#ssm-6)
[【SSM.7】 SSM 文件應啟用封鎖公開共用設定](ssm-controls.md#ssm-7)
[【StepFunctions.1] Step Functions 狀態機器應該已開啟記錄](stepfunctions-controls.md#stepfunctions-1)
[【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線](transfer-controls.md#transfer-2)
[【Transfer.3】 Transfer Family 連接器應該已啟用記錄](transfer-controls.md#transfer-3)
[【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄](waf-controls.md#waf-1)
[【WAF.2】 AWS WAF 傳統區域規則應至少有一個條件](waf-controls.md#waf-2)
[【WAF.3】 AWS WAF 傳統區域規則群組應至少有一個規則](waf-controls.md#waf-3)
[【WAF.4】 AWS WAF 傳統區域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-4)
[【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件](waf-controls.md#waf-6)
[【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則](waf-controls.md#waf-7)
[【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-8)
[【WAF.10】 AWS WAF Web ACLs應至少有一個規則或規則群組](waf-controls.md#waf-10)
[【WAF.12】 AWS WAF 規則應啟用 CloudWatch 指標](waf-controls.md#waf-12)
[【WorkSpaces.1] 應靜態加密 WorkSpaces 使用者磁碟區](workspaces-controls.md#workspaces-1)
[【WorkSpaces.2] WorkSpaces 根磁碟區應靜態加密](workspaces-controls.md#workspaces-2)