本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub CSPM 的控制項參考
此控制項參考提供可用的 AWS Security Hub Cloud Security Posture Management (CSPM) 控制項清單,其中包含每個控制項的詳細資訊連結。概觀資料表會依控制項 ID 的字母順序顯示控制項。此處僅包含 Security Hub CSPM 作用中使用的控制項。淘汰的控制項會從此清單中排除。資料表提供每個控制項的下列資訊:
-
安全控制 ID – 此 ID 適用於所有標準,並指出控制項相關的 AWS 服務 和資源。Security Hub CSPM 主控台會顯示安全控制 IDs,無論您的帳戶中是否開啟或關閉合併控制問題清單。不過,只有在您的帳戶中開啟合併控制調查結果時,Security Hub CSPM 調查結果才會參考安全控制 IDs。如果您的帳戶中關閉了合併控制調查結果,則某些控制 IDs會因控制調查結果中的標準而有所不同。如需標準特定控制 IDs與安全控制 IDs的映射,請參閱 合併如何影響控制 IDs和標題。
如果您想要為安全控制設定自動化,建議您根據控制 ID 而非標題或描述進行篩選。雖然 Security Hub CSPM 可能會偶爾更新控制項標題或描述,但控制項 IDs保持不變。
控制項 IDs可能會略過數字。這些是未來控制項的預留位置。
-
適用標準 – 指出適用於控制項的標準。選擇控制項,以檢閱第三方合規架構的特定要求。
-
安全控制標題 – 此標題適用於所有標準。Security Hub CSPM 主控台會顯示安全控制標題,無論您的帳戶中是否開啟或關閉合併控制問題清單。不過,只有在您的帳戶中開啟合併控制調查結果時,Security Hub CSPM 調查結果才會參考安全控制標題。如果您的帳戶中關閉了合併控制問題清單,則某些控制標題會因控制問題清單中的標準而有所不同。如需標準特定控制 IDs與安全控制 IDs的映射,請參閱 合併如何影響控制 IDs和標題。
-
嚴重性 – 控制項的嚴重性從安全角度識別其重要性。如需 Security Hub CSPM 如何判斷控制嚴重性的資訊,請參閱 控制調查結果的嚴重性等級。
-
排程類型 – 指出何時評估控制項。如需詳細資訊,請參閱執行安全檢查的排程。
-
支援自訂參數 – 指出控制項是否支援一或多個參數的自訂值。選擇控制項以檢閱參數詳細資訊。如需詳細資訊,請參閱了解 Security Hub CSPM 中的控制參數。
選擇控制項以檢閱其他詳細資訊。控制項會依安全控制項 ID 的字母順序列出。
| 安全控制 ID | 安全控制標題 | 適用標準 | 嚴重性 | 支援自訂參數 | 排程類型 |
|---|---|---|---|---|---|
| Account.1 | 應提供 的安全聯絡資訊 AWS 帳戶 | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中型 | 定期 | |
| 帳戶。2 | AWS 帳戶 應該是 AWS Organizations 組織的一部分 | NIST SP 800-53 修訂版 5 | HIGH (高) | |
定期 |
| ACM.1 | 匯入和 ACM 發行的憑證應在指定的期間之後續約 | AWS 基礎安全最佳實務 v1.0.0,服務受管標準: AWS Control Tower、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS v4.0.1 | 中型 | |
變更已觸發和定期 |
| ACM.2 | ACM 管理的 RSA 憑證應使用至少 2,048 位元的金鑰長度 | AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 4.0.1 版 | HIGH (高) | |
變更已觸發 |
| ACM.3 | ACM 憑證應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Amplify.1 | Amplify 應用程式應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Amplify.2 | Amplify 分支應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| APIGateway.1 | 應啟用 API Gateway REST 和 WebSocket API 執行記錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| APIGateway.2 | API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 中型 | |
變更已觸發 |
| APIGateway.3 | API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 低 | |
變更已觸發 |
| APIGateway.4 | API Gateway 應與 WAF Web ACL 建立關聯 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| APIGateway.5 | API Gateway REST API 快取資料應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| APIGateway.8 | API Gateway 路由應指定授權類型 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
定期 |
| APIGateway.9 | 應該為 API Gateway V2 階段設定存取記錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| AppConfig.1 | AWS AppConfig 應用程式應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| AppConfig.2 | AWS AppConfig 組態設定檔應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| AppConfig.3 | AWS AppConfig 環境應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| AppConfig.4 | AWS AppConfig 延伸關聯應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| AppFlow.1 | Amazon AppFlow 流程應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| AppRunner.1 | App Runner 服務應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| AppRunner.2 | 應標記 App Runner VPC 連接器 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| AppSync.1 | AWS AppSync API 快取應靜態加密 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| AppSync.2 | AWS AppSync 應該啟用欄位層級記錄 | AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| AppSync.4 | AWS AppSync GraphQL APIs 應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| AppSync.5 | AWS AppSync GraphQL APIs 不應使用 API 金鑰進行身分驗證 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | HIGH (高) | |
變更已觸發 |
| AppSync.6 | AWS AppSync API 快取應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| Athena.2 | Athena 資料目錄應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Athena.3 | Athena 工作群組應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Athena.4 | Athena 工作群組應該已啟用記錄 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| AutoScaling.1 | 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查 | AWS 基礎安全最佳實務、服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 變更已觸發 | |
| AutoScaling.2 | Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| AutoScaling.3 | Auto Scaling 群組啟動組態應該將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2) | AWS 基礎安全最佳實務 v1.0.0,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,PCI DSS v4.0.1 | HIGH (高) | |
變更已觸發 |
| Autoscaling.5 | 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址 | AWS 基礎安全最佳實務 v1.0.0,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,PCI DSS v4.0.1 | HIGH (高) | |
變更已觸發 |
| AutoScaling.6 | Auto Scaling 群組應在多個可用區域中使用多個執行個體類型 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| AutoScaling.9 | EC2 Auto Scaling 群組應使用 EC2 啟動範本 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| AutoScaling.10 | EC2 Auto Scaling 群組應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| 備份。1 | AWS Backup 復原點應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| 備份。2 | AWS Backup 復原點應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| 備份。3 | AWS Backup 保存庫應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| 備份。4 | AWS Backup 報告計畫應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| 備份。5 | AWS Backup 備份計畫應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Batch.1 | 批次任務佇列應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Batch.2 | 批次排程政策應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Batch.3 | 批次運算環境應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Batch.4 | 受管批次運算環境中的運算資源屬性應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| CloudFormation.2 | CloudFormation 堆疊應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| CloudFront.1 | CloudFront 分佈應該設定預設根物件 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 | HIGH (高) | 變更已觸發 | |
| CloudFront.3 | CloudFront 分佈應該需要傳輸中加密 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| CloudFront.4 | CloudFront 分佈應設定原始伺服器容錯移轉 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 低 | |
變更已觸發 |
| CloudFront.5 | CloudFront 分佈應該已啟用記錄 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| CloudFront.6 | CloudFront 分佈應該啟用 WAF | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| CloudFront.7 | CloudFront 分佈應使用自訂 SSL/TLS 憑證 | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | 中型 | |
變更已觸發 |
| CloudFront.8 | CloudFront 分佈應使用 SNI 來提供 HTTPS 請求 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 低 | |
變更已觸發 |
| CloudFront.9 | CloudFront 分佈應該加密到自訂原始伺服器的流量 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| CloudFront.10 | CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定 | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS v4.0.1 | 中型 | |
變更已觸發 |
| CloudFront.12 | CloudFront 分佈不應指向不存在的 S3 原始伺服器 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 | HIGH (高) | |
定期 |
| CloudFront.13 | CloudFront 分佈應使用原始存取控制 | AWS 基礎安全最佳實務 1.0.0 版 | 中型 | |
變更已觸發 |
| CloudFront.14 | CloudFront 分佈應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| CloudTrail.1 | CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域線索 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、Service-Managed Standard: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH (高) | 定期 | |
| CloudTrail.2 | CloudTrail 應該啟用靜態加密 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1、服務受管標準: AWS Control Tower | 中型 | |
定期 |
| CloudTrail.3 | 至少應啟用一個 CloudTrail 追蹤 | NIST SP 800-171 第 2 版,PCI DSS 4.0.1 版,PCI DSS 3.2.1 版 | HIGH (高) | 定期 | |
| CloudTrail.4 | 應啟用 CloudTrail 日誌檔案驗證 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1、服務受管標準: AWS Control Tower | 低 | |
定期 |
| CloudTrail.5 | CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合 | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服務管理標準: AWS Control Tower | 低 | |
定期 |
| CloudTrail.6 | 確保不公開存取用於儲存 CloudTrail 日誌的 S3 儲存貯體 | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、PCI DSS v4.0.1 | 關鍵 | |
變更已觸發和定期 |
| CloudTrail.7 | 確保 CloudTrail S3 儲存貯體已啟用 S3 儲存貯體存取日誌記錄 | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | 低 | |
定期 |
| CloudTrail.9 | CloudTrail 追蹤應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| CloudTrail.10 | CloudTrail Lake 事件資料存放區應使用客戶受管加密 AWS KMS keys | NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| CloudWatch.1 | 應該存在日誌指標篩選條件和警示,以使用「根」使用者 | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 | 低 | |
定期 |
| CloudWatch.2 | 確保未經授權的 API 呼叫中存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.3 | 確保不使用 MFA 的管理主控台登入存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版 | 低 | |
定期 |
| CloudWatch.4 | 確保 IAM 政策變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.5 | 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.6 | 確保 AWS Management Console 驗證失敗時存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.7 | 確保停用或排定刪除客戶建立的 CMK 存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.8 | 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.9 | 確保 AWS Config 組態變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.10 | 確保安全群組變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.11 | 確保網路存取控制清單 (NACL) 變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.12 | 確保網路閘道變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.13 | 確保路由表變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.14 | 確保 VPC 變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 | 低 | |
定期 |
| CloudWatch.15 | CloudWatch 警示應該已設定指定的動作 | NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | HIGH (高) | |
變更已觸發 |
| CloudWatch.16 | CloudWatch 日誌群組應保留一段指定的時間 | NIST SP 800-53 修訂版 5 | 中型 | |
定期 |
| CloudWatch.17 | 應啟用 CloudWatch 警示動作 | NIST SP 800-53 修訂版 5 | HIGH (高) | |
變更已觸發 |
| CodeArtifact.1 | CodeArtifact 儲存庫應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| CodeBuild.1 | CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 3.2.1 版,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 關鍵 | 變更已觸發 | |
| CodeBuild.2 | CodeBuild 專案環境變數不應包含純文字登入資料 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 3.2.1 版,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 關鍵 | |
變更已觸發 |
| CodeBuild.3 | CodeBuild S3 日誌應加密 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower, | 低 | |
變更已觸發 |
| CodeBuild.4 | CodeBuild 專案環境應具有記錄組態 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| CodeBuild.7 | CodeBuild 報告群組匯出應該靜態加密 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| CodeGuruProfiler.1 | CodeGuru Profiler 分析群組應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| CodeGuruReviewer.1 | CodeGuru Reviewer 儲存庫關聯應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Cognito.1 | Cognito 使用者集區應以標準身分驗證的完整功能強制執行模式啟用威脅防護 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| Config.1 | AWS Config 應啟用並使用服務連結角色進行資源記錄 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1 | 關鍵 | 定期 | |
| Connect.1 | Amazon Connect Customer Profiles 物件類型應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Connect.2 | Amazon Connect 執行個體應該啟用 CloudWatch 記錄 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| DataFirehose.1 | Firehose 交付串流應靜態加密 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| DataSync.1 | DataSync 任務應該已啟用記錄 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| DataSync.2 | DataSync 任務應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Detective.1 | Detective 行為圖表應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| DMS.1 | Database Migration Service 複寫執行個體不應為公有 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 3.2.1 版,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 關鍵 | |
定期 |
| DMS.2 | DMS 憑證應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| DMS.3 | DMS 事件訂閱應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| DMS.4 | DMS 複寫執行個體應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| DMS.5 | DMS 複寫子網路群組應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| DMS.6 | DMS 複寫執行個體應啟用自動次要版本升級 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| DMS.7 | 目標資料庫的 DMS 複寫任務應該已啟用記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| DMS.8 | 來源資料庫的 DMS 複寫任務應該已啟用記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| DMS.9 | DMS 端點應使用 SSL | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| DMS.10 | Neptune 資料庫的 DMS 端點應啟用 IAM 授權 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | 變更已觸發 | |
| DMS.11 | MongoDB 的 DMS 端點應該啟用身分驗證機制 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | 變更已觸發 | |
| DMS.12 | Redis OSS 的 DMS 端點應該已啟用 TLS | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | 變更已觸發 | |
| DocumentDB.1 | Amazon DocumentDB 叢集應靜態加密 | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| DocumentDB.2 | Amazon DocumentDB 叢集應具有足夠的備份保留期 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| DocumentDB.3 | Amazon DocumentDB 手動叢集快照不應公開 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 關鍵 | |
變更已觸發 |
| DocumentDB.4 | Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| DocumentDB.5 | Amazon DocumentDB 叢集應該啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| DocumentDB.6 | Amazon DocumentDB 叢集應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| DynamoDB.1 | DynamoDB 資料表應隨著需求自動擴展容量 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
定期 |
| DynamoDB.2 | DynamoDB 資料表應該啟用point-in-time復原 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| DynamoDB.3 | DynamoDB Accelerator (DAX) 叢集應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
定期 |
| DynamoDB.4 | DynamoDB 資料表應存在於備份計畫中 | NIST SP 800-53 修訂版 5 | 中型 | |
定期 |
| DynamoDB.5 | DynamoDB 資料表應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| DynamoDB.6 | DynamoDB 資料表應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| DynamoDB.7 | DynamoDB Accelerator 叢集應在傳輸中加密 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | 定期 | |
| EC2.1 | EBS 快照不應可公開還原 | AWS 基礎安全最佳實務 v1.0.0、服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 關鍵 | |
定期 |
| EC2.2 | VPC 預設安全群組不應允許傳入或傳出流量 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | HIGH (高) | |
變更已觸發 |
| EC2.3 | 連接的 EBS 磁碟區應該靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| EC2.4 | 已停止的 EC2 執行個體應在指定的期間之後移除 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
定期 |
| EC2.6 | 應在所有 VPC 中啟用 VPCs 流程記錄 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中型 | |
定期 |
| EC2.7 | 應啟用 EBS 預設加密 | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中型 | |
定期 |
| EC2.8 | EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2) | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| EC2.9 | EC2 執行個體不應具有公有 IPv4 地址 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | HIGH (高) | |
變更已觸發 |
| EC2.10 | Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 中型 | |
定期 |
| EC2.12 | 應該移除未使用的 EC2 EIPs | PCI DSS v3.2.1、NIST SP 800-53 修訂版 5 | 低 | |
變更已觸發 |
| EC2.13 | 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22 | CIS AWS Foundations Benchmark 1.2.0 版、PCI DSS 3.2.1 版、PCI DSS 4.0.1 版、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | HIGH (高) | 變更已觸發和定期 | |
| EC2.14 | 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389 | CIS AWS Foundations Benchmark 1.2.0 版、PCI DSS 4.0.1 版 | HIGH (高) | 變更已觸發和定期 | |
| EC2.15 | EC2 子網路不應自動指派公有 IP 地址 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower, | 中型 | |
變更已觸發 |
| EC2.16 | 應該移除未使用的網路存取控制清單 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower, | 低 | |
變更已觸發 |
| EC2.17 | EC2 執行個體不應使用多個 ENIs | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 低 | |
變更已觸發 |
| EC2.18 | 安全群組應僅允許授權連接埠不受限制的傳入流量 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | HIGH (高) | |
變更已觸發 |
| EC2.19 | 安全群組不應允許無限制存取高風險的連接埠 | AWS 基礎安全最佳實務,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 關鍵 | 變更已觸發和定期 | |
| EC2.20 | 用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 中型 | |
變更已觸發 |
| EC2.21 | 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、Service-Managed Standard: AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中型 | |
變更已觸發 |
| EC2.22 | 應該移除未使用的 EC2 安全群組 | 服務受管標準: AWS Control Tower | 中型 | 定期 | |
| EC2.23 | EC2 Transit Gateways 不應自動接受 VPC 連接請求 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | HIGH (高) | |
變更已觸發 |
| EC2.24 | 不應使用 EC2 全虛擬執行個體類型 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| EC2.25 | EC2 啟動範本不應將公IPs 指派給網路介面 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| EC2.28 | EBS 磁碟區應位於備份計畫中 | NIST SP 800-53 修訂版 5 | 低 | |
定期 |
| EC2.33 | EC2 傳輸閘道附件應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.34 | EC2 傳輸閘道路由表應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.35 | EC2 網路介面應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.36 | EC2 客戶閘道應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.37 | EC2 彈性 IP 地址應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.38 | 應標記 EC2 執行個體 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.39 | EC2 網際網路閘道應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.40 | EC2 NAT 閘道應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.41 | EC2 網路 ACLs 應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.42 | EC2 路由表應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.43 | EC2 安全群組應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.44 | EC2 子網路應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.45 | EC2 磁碟區應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.46 | Amazon VPCs應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.47 | Amazon VPC 端點服務應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.48 | Amazon VPC 流程日誌應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.49 | Amazon VPC 對等互連連線應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.50 | EC2 VPN 閘道應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.51 | EC2 Client VPN 端點應該啟用用戶端連線記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2,PCI DSS 4.0.1 版 | 低 | |
變更已觸發 |
| EC2.52 | EC2 傳輸閘道應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.53 | EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠 | CIS AWS Foundations Benchmark 3.0.0 版、PCI DSS 4.0.1 版 | HIGH (高) | 定期 | |
| EC2.54 | EC2 安全群組不應允許從 ::/0 傳入遠端伺服器管理連接埠 | CIS AWS Foundations Benchmark 3.0.0 版、PCI DSS 4.0.1 版 | HIGH (高) | 定期 | |
| EC2.55 | VPCs應使用 ECR API 的介面端點進行設定 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| EC2.56 | VPCs應使用 Docker 登錄檔的介面端點進行設定 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| EC2.57 | VPCs應使用 Systems Manager 的介面端點進行設定 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| EC2.58 | VPCs應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| EC2.60 | VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| EC2.170 | EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2) | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | 低 | 變更已觸發 | |
| EC2.171 | EC2 VPN 連線應該已啟用記錄 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | 中型 | 變更已觸發 | |
| EC2.172 | EC2 VPC 封鎖公開存取設定應封鎖網際網路閘道流量 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| EC2.173 | EC2 Spot Fleet 請求應為連接的 EBS 磁碟區啟用加密 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| EC2.174 | EC2 DHCP 選項集應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.175 | EC2 啟動範本應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.176 | EC2 字首清單應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.177 | 應標記 EC2 流量鏡像工作階段 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.178 | EC2 流量鏡像篩選條件應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EC2.179 | 應標記 EC2 流量鏡像目標 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| ECR.1 | ECR 私有儲存庫應設定映像掃描 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | HIGH (高) | |
定期 |
| ECR.2 | ECR 私有儲存庫應設定標籤不可變性 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ECR.3 | ECR 儲存庫應至少設定一個生命週期政策 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ECR.4 | ECR 公有儲存庫應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| ECR.5 | ECR 儲存庫應使用客戶受管加密 AWS KMS keys | NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| ECS.1 | Amazon ECS 任務定義應具有安全聯網模式和使用者定義。 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | HIGH (高) | |
變更已觸發 |
| ECS.2 | ECS 服務不應自動為其指派公有 IP 地址 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| ECS.3 | ECS 任務定義不應共用主機的程序命名空間 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | HIGH (高) | |
變更已觸發 |
| ECS.4 | ECS 容器應以非特殊權限執行 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | HIGH (高) | |
變更已觸發 |
| ECS.5 | ECS 容器應限於對根檔案系統的唯讀存取 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | HIGH (高) | |
變更已觸發 |
| ECS.8 | 秘密不應做為容器環境變數傳遞 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| ECS.9 | ECS 任務定義應具有記錄組態 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | HIGH (高) | |
變更已觸發 |
| ECS.10 | ECS Fargate 服務應在最新的 Fargate 平台版本上執行 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| ECS.12 | ECS 叢集應使用 Container Insights | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ECS.13 | ECS 服務應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| ECS.14 | ECS 叢集應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| ECS.15 | ECS 任務定義應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| ECS.16 | ECS 任務集不應自動指派公有 IP 地址 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | HIGH (高) | 變更已觸發 | |
| ECS.17 | ECS 任務定義不應使用主機網路模式 | NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| EFS.1 | 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中型 | |
定期 |
| EFS.2 | Amazon EFS 磁碟區應處於備份計劃中 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
定期 |
| EFS.3 | EFS 存取點應強制執行根目錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| EFS.4 | EFS 存取點應強制執行使用者身分 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| EFS.5 | EFS 存取點應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EFS.6 | EFS 掛載目標不應與公有子網路相關聯 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| EFS.7 | EFS 檔案系統應該啟用自動備份 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| EFS.8 | EFS 檔案系統應靜態加密 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| EKS.1 | 不應公開存取 EKS 叢集端點 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | HIGH (高) | |
定期 |
| EKS.2 | EKS 叢集應在支援的 Kubernetes 版本上執行 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| EKS.3 | EKS 叢集應使用加密的 Kubernetes 秘密 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | 定期 | |
| EKS.6 | EKS 叢集應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EKS.7 | EKS 身分提供者組態應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EKS.8 | EKS 叢集應該啟用稽核記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| ElastiCache.1 | ElastiCache (Redis OSS) 叢集應該啟用自動備份 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | HIGH (高) | |
定期 |
| ElastiCache.2 | ElastiCache 叢集應該啟用自動次要版本升級 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | HIGH (高) | |
定期 |
| ElastiCache.3 | ElastiCache 複寫群組應該啟用自動容錯移轉 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
定期 |
| ElastiCache.4 | ElastiCache 複寫群組應該靜態encrypted-at-rest | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
定期 |
| ElastiCache.5 | ElastiCache 複寫群組應該在encrypted-in-transit | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
定期 |
| ElastiCache.6 | 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
定期 |
| ElastiCache.7 | ElastiCache 叢集不應使用預設子網路群組 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | HIGH (高) | |
定期 |
| ElasticBeanstalk.1 | Elastic Beanstalk 環境應啟用增強型運作狀態報告 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 低 | |
變更已觸發 |
| ElasticBeanstalk.2 | 應啟用 Elastic Beanstalk 受管平台更新 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| ElasticBeanstalk.3 | Elastic Beanstalk 應該將日誌串流至 CloudWatch | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | HIGH (高) | |
變更已觸發 |
| ELB.1 | Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS | AWS 基礎安全最佳實務 v1.0.0、服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中型 | |
定期 |
| ELB.2 | 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 中型 | |
變更已觸發 |
| ELB.3 | Classic Load Balancer 接聽程式應設定為 HTTPS 或 TLS 終止 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| ELB.4 | Application Load Balancer 應設定為捨棄 http 標頭 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| ELB.5 | 應啟用應用程式和 Classic Load Balancer 記錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ELB.6 | 應用程式、閘道和 Network Load Balancer 應啟用刪除保護 | AWS 基礎安全最佳實務,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| ELB.7 | Classic Load Balancer 應該啟用連線耗盡 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ELB.8 | 具有 SSL 接聽程式的 Classic Load Balancer 應使用具有強大組態的預先定義安全政策 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| ELB.9 | Classic Load Balancer 應啟用跨區域負載平衡 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ELB.10 | Classic Load Balancer 應跨越多個可用區域 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ELB.12 | Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| ELB.13 | 應用程式、網路和閘道負載平衡器應跨越多個可用區域 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ELB.14 | Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| ELB.16 | Application Load Balancer 應與 AWS WAF Web ACL 建立關聯 | NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| ELB.17 | 具有接聽程式的應用程式和 Network Load Balancer 應使用建議的安全政策 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| EMR.1 | Amazon EMR 叢集主節點不應具有公有 IP 地址 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | HIGH (高) | 定期 | |
| EMR.2 | 應啟用 Amazon EMR 封鎖公開存取設定 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 關鍵 | 定期 | |
| EMR.3 | Amazon EMR 安全組態應靜態加密 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| EMR.4 | Amazon EMR 安全組態應在傳輸中加密 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| ES.1 | Elasticsearch 網域應該啟用靜態加密 | AWS 基礎安全最佳實務 v1.0.0、服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中型 | |
定期 |
| ES.2 | Elasticsearch 網域不應可公開存取 | AWS 基礎安全最佳實務、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5、服務受管標準: AWS Control Tower | 關鍵 | |
定期 |
| ES.3 | Elasticsearch 網域應該加密節點之間傳送的資料 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower, | 中型 | |
變更已觸發 |
| ES.4 | 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ES.5 | Elasticsearch 網域應該啟用稽核記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,服務管理標準: AWS Control Tower | 中型 | |
變更已觸發 |
| ES.6 | Elasticsearch 網域應至少具有三個資料節點 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ES.7 | Elasticsearch 網域應該至少設定三個專用主節點 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| ES.8 | 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | 變更已觸發 | |
| ES.9 | 應標記 Elasticsearch 網域 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EventBridge.2 | 應標記 EventBridge 事件匯流排 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| EventBridge.3 | EventBridge 自訂事件匯流排應連接以資源為基礎的政策 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 低 | |
變更已觸發 |
| EventBridge.4 | EventBridge 全域端點應該啟用事件複寫 | NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| FraudDetector.1 | Amazon Fraud Detector 實體類型應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| FraudDetector.2 | Amazon Fraud Detector 標籤應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| FraudDetector.3 | Amazon Fraud Detector 結果應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| FraudDetector.4 | Amazon Fraud Detector 變數應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| FSx.1 | FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | 低 | |
定期 |
| FSx.2 | FSx for Lustre 檔案系統應設定為將標籤複製到備份 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 低 | 定期 | |
| FSx.3 | FSx for OpenZFS 檔案系統應設定為異地同步備份部署 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| FSx.4 | FSx for NetApp ONTAP 檔案系統應設定為異地同步備份部署 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| FSx.5 | FSx for Windows File Server 檔案系統應設定為異地同步備份部署 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| Glue.1 | AWS Glue 任務應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Glue.3 | AWS Glue 機器學習轉換應該靜態加密 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| Glue.4 | AWS Glue Spark 任務應在支援的 版本上執行 AWS Glue | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| GlobalAccelerator.1 | Global Accelerator 加速器應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| GuardDuty.1 | GuardDuty 應啟用 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2,PCI DSS v3.2.1,PCI DSS v4.0.1,服務受管標準: AWS Control Tower | HIGH (高) | |
定期 |
| GuardDuty.2 | GuardDuty 篩選條件應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| GuardDuty.3 | GuardDuty IPSets 應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| GuardDuty.4 | GuardDuty 偵測器應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| GuardDuty.5 | 應啟用 GuardDuty EKS 稽核日誌監控 | AWS 基礎安全最佳實務 | HIGH (高) | 定期 | |
| GuardDuty.6 | 應啟用 GuardDuty Lambda 保護 | AWS 基礎安全最佳實務,PCI DSS 4.0.1 版 | HIGH (高) | 定期 | |
| GuardDuty.7 | 應啟用 GuardDuty EKS 執行期監控 | AWS 基礎安全最佳實務,PCI DSS 4.0.1 版 | 中型 | 定期 | |
| GuardDuty.8 | 應啟用 EC2 的 GuardDuty 惡意軟體防護 | AWS 基礎安全最佳實務 | HIGH (高) | 定期 | |
| GuardDuty.9 | 應啟用 GuardDuty RDS 保護 | AWS 基礎安全最佳實務,PCI DSS 4.0.1 版 | HIGH (高) | 定期 | |
| GuardDuty.10 | 應啟用 GuardDuty S3 保護 | AWS 基礎安全最佳實務,PCI DSS 4.0.1 版 | HIGH (高) | 定期 | |
| GuardDuty.11 | 應啟用 GuardDuty 執行期監控 | AWS 基礎安全最佳實務 | HIGH (高) | 定期 | |
| GuardDuty.12 | 應啟用 GuardDuty ECS 執行期監控 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| GuardDuty.13 | 應啟用 GuardDuty EC2 執行期監控 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| IAM.1 | IAM 政策不應允許完整的「*」管理權限 | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH (高) | |
變更已觸發 |
| IAM.2 | IAM 使用者不應連接 IAM 政策 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | |
變更已觸發 |
| IAM.3 | IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服務管理標準: AWS Control Tower | 中型 | |
定期 |
| IAM.4 | IAM 根使用者存取金鑰不應存在 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 關鍵 | |
定期 |
| IAM.5 | 應為具有主控台密碼的所有 IAM 使用者啟用 MFA | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服務管理標準: AWS Control Tower | 中型 | |
定期 |
| IAM.6 | 應為根使用者啟用硬體 MFA | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服務管理標準: AWS Control Tower | 關鍵 | |
定期 |
| IAM.7 | IAM 使用者的密碼政策應具有強大的組態 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
定期 |
| IAM .8 | 應該移除未使用的 IAM 使用者登入資料 | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | 中型 | |
定期 |
| IAM.9 | 應為根使用者啟用 MFA | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 關鍵 | |
定期 |
| IAM.10 | IAM 使用者的密碼政策應具有強大的組態 | NIST SP 800-171 第 2 版,PCI DSS 3.2.1 版 | 中型 | |
定期 |
| IAM.11 | 確保 IAM 密碼政策至少需要一個大寫字母 | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 第 2 版、PCI DSS 4.0.1 版 | 中型 | |
定期 |
| IAM.12 | 確保 IAM 密碼政策至少需要一個小寫字母 | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 第 2 版、PCI DSS 4.0.1 版 | 中型 | |
定期 |
| IAM.13 | 確保 IAM 密碼政策至少需要一個符號 | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 第 2 版、PCI DSS 4.0.1 版 | 中型 | |
定期 |
| IAM.14 | 確保 IAM 密碼政策至少需要一個數字 | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 第 2 版、PCI DSS 4.0.1 版 | 中型 | |
定期 |
| IAM.15 | 確保 IAM 密碼政策要求密碼長度下限為 14 或更高 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 中型 | |
定期 |
| IAM.16 | 確保 IAM 密碼政策防止重複使用密碼 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.17 | 確保 IAM 密碼政策在 90 天內過期密碼 | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 第 2 版、PCI DSS 4.0.1 版 | 低 | |
定期 |
| IAM.18 | 確保已建立支援角色來使用 管理事件 AWS 支援 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.19 | 應為所有 IAM 使用者啟用 MFA | NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS 3.2.1、PCI DSS 4.0.1 | 中型 | |
定期 |
| IAM.21 | 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 低 | |
變更已觸發 |
| IAM.22 | 應移除未使用 45 天的 IAM 使用者登入資料 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-171 修訂版 2 | 中型 | |
定期 |
| IAM.23 | IAM Access Analyzer 分析器應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IAM.24 | IAM 角色應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IAM.25 | IAM 使用者應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IAM.26 | 應該移除在 IAM 中管理的過期 SSL/TLS 憑證 | CIS AWS Foundations Benchmark 3.0.0 版 | 中型 | 定期 | |
| IAM.27 | IAM 身分不應連接 AWSCloudShellFullAccess 政策 | CIS AWS Foundations Benchmark 3.0.0 版 | 中型 | 變更已觸發 | |
| IAM.28 | 應啟用 IAM Access Analyzer 外部存取分析器 | CIS AWS Foundations Benchmark 3.0.0 版 | HIGH (高) | 定期 | |
| Inspector.1 | 應啟用 Amazon Inspector EC2 掃描 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | HIGH (高) | 定期 | |
| Inspector.2 | 應啟用 Amazon Inspector ECR 掃描 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | HIGH (高) | 定期 | |
| Inspector.3 | 應啟用 Amazon Inspector Lambda 程式碼掃描 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | HIGH (高) | 定期 | |
| Inspector.4 | 應啟用 Amazon Inspector Lambda 標準掃描 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | HIGH (高) | 定期 | |
| IoT.1 | AWS IoT Device Defender 安全設定檔應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoT.2 | AWS IoT Core 應標記緩解動作 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoT.3 | AWS IoT Core 維度應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoT.4 | AWS IoT Core 授權方應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoT.5 | AWS IoT Core 角色別名應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoT.6 | AWS IoT Core 政策應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTEvents.1 | AWS IoT Events 輸入應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTEvents.2 | AWS IoT Events 偵測器模型應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTEvents.3 | AWS IoT Events 警示模型應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTSiteWise.1 | AWS IoT SiteWise 資產模型應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTSiteWise.2 | AWS IoT SiteWise 儀表板應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTSiteWise.3 | AWS IoT SiteWise 閘道應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTSiteWise.4 | AWS IoT SiteWise 入口網站應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTSiteWise.5 | AWS IoT SiteWise 專案應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTTwinMaker.1 | AWS IoT TwinMaker 同步任務應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTTwinMaker.2 | AWS IoT TwinMaker 工作區應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTTwinMaker.3 | AWS IoT TwinMaker 場景應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTTwinMaker.4 | AWS IoT TwinMaker 實體應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTWireless.1 | AWS IoT Wireless 多點傳送群組應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTWireless.2 | AWS IoT Wireless 服務設定檔應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IoTWireless.3 | AWS IoT Wireless FUOTA 任務應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IVS.1 | IVS 播放金鑰對應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IVS.2 | IVS 記錄組態應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| IVS.3 | IVS 頻道應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| 金鑰空間。1 | Amazon Keyspaces 金鑰空間應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Kinesis.1 | Kinesis 串流應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Kinesis.2 | Kinesis 串流應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Kinesis.3 | Kinesis 串流應具有足夠的資料保留期 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| KMS.1 | IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| KMS.2 | IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| KMS.3 | AWS KMS keys 不應意外刪除 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 關鍵 | |
變更已觸發 |
| KMS.4 | AWS KMS key 應該啟用輪換 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中型 | |
定期 |
| KMS.5 | 不應公開存取 KMS 金鑰 | AWS 基礎安全最佳實務 | 關鍵 | 變更已觸發 | |
| Lambda.1 | Lambda 函數政策應禁止公開存取 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 3.2.1 版,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 關鍵 | |
變更已觸發 |
| Lambda.2 | Lambda 函數應使用支援的執行時間 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Lambda.3 | Lambda 函數應該位於 VPC 中 | PCI DSS v3.2.1、NIST SP 800-53 修訂版 5 | 低 | |
變更已觸發 |
| Lambda.5 | VPC Lambda 函數應該在多個可用區域中操作 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Lambda.6 | Lambda 函數應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Macie.1 | 應啟用 Amazon Macie | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
定期 |
| Macie.2 | 應啟用 Macie 自動化敏感資料探索 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | HIGH (高) | 定期 | |
| MSK.1 | MSK 叢集應在代理程式節點之間傳輸時加密 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| MSK.2 | MSK 叢集應該已設定增強型監控 | NIST SP 800-53 修訂版 5 | 低 | |
變更已觸發 |
| MSK.3 | MSK Connect 連接器應在傳輸中加密 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | 中型 | 變更已觸發 | |
| MQ.2 | ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | 變更已觸發 | |
| MQ.3 | Amazon MQ 代理程式應該啟用自動次要版本升級 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 低 | 變更已觸發 | |
| MQ.4 | Amazon MQ 代理程式應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| MQ.5 | ActiveMQ 代理程式應使用作用中/待命部署模式 | NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | 低 | |
變更已觸發 |
| MQ.6 | RabbitMQ 代理程式應使用叢集部署模式 | NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | 低 | |
變更已觸發 |
| Neptune.1 | Neptune 資料庫叢集應靜態加密 | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Neptune.2 | Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Neptune.3 | Neptune 資料庫叢集快照不應公開 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 關鍵 | |
變更已觸發 |
| Neptune.4 | Neptune 資料庫叢集應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | 低 | |
變更已觸發 |
| Neptune.5 | Neptune 資料庫叢集應該啟用自動備份 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Neptune.6 | Neptune 資料庫叢集快照應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Neptune.7 | Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Neptune.8 | Neptune 資料庫叢集應設定為將標籤複製到快照 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | 低 | |
變更已觸發 |
| Neptune.9 | Neptune 資料庫叢集應該跨多個可用區域部署 | NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| NetworkFirewall.1 | 網路防火牆防火牆應部署在多個可用區域 | NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| NetworkFirewall.2 | 應啟用 Network Firewall 記錄 | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | 中型 | |
定期 |
| NetworkFirewall.3 | Network Firewall 政策應至少有一個相關聯的規則群組 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 中型 | |
變更已觸發 |
| NetworkFirewall.4 | Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| NetworkFirewall.5 | Network Firewall 政策的預設無狀態動作應為捨棄或轉送分段封包 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 中型 | |
變更已觸發 |
| NetworkFirewall.6 | 無狀態網路防火牆規則群組不應為空 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | 中型 | |
變更已觸發 |
| NetworkFirewall.7 | 應標記 Network Firewall 防火牆 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| NetworkFirewall.8 | 應標記 Network Firewall 防火牆政策 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| NetworkFirewall.9 | Network Firewall 防火牆應該啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| NetworkFirewall.10 | Network Firewall 防火牆應該啟用子網路變更保護 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| Opensearch.1 | OpenSearch 網域應該啟用靜態加密 | AWS 基礎安全最佳實務 v1.0.0、服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中型 | |
變更已觸發 |
| Opensearch.2 | OpenSearch 網域不應可公開存取 | AWS 基礎安全最佳實務 v1.0.0、服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 關鍵 | |
變更已觸發 |
| Opensearch.3 | OpenSearch 網域應該加密節點之間傳送的資料 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Opensearch.4 | 應啟用 CloudWatch Logs 的 OpenSearch 網域錯誤記錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Opensearch.5 | OpenSearch 網域應該啟用稽核記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Opensearch.6 | OpenSearch 網域應至少具有三個資料節點 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Opensearch.7 | OpenSearch 網域應該啟用精細存取控制 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | HIGH (高) | |
變更已觸發 |
| Opensearch.8 | 應使用最新的 TLS 安全政策加密與 OpenSearch 網域的連線 | AWS 基礎安全最佳實務,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| Opensearch.9 | OpenSearch 網域應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Opensearch.10 | OpenSearch 網域應該已安裝最新的軟體更新 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 低 | |
變更已觸發 |
| Opensearch.11 | OpenSearch 網域應至少具有三個專用主節點 | NIST SP 800-53 修訂版 5 | 低 | 定期 | |
| PCA.1 | AWS Private CA 應停用根憑證授權單位 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 低 | |
定期 |
| PCA.2 | AWS 私有 CA 憑證授權單位應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| RDS.1 | RDS 快照應為私有 | AWS 基礎安全最佳實務 v1.0.0、服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 關鍵 | |
變更已觸發 |
| RDS.2 | RDS 資料庫執行個體應禁止公開存取,由 PubliclyAccessible 組態決定 | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices、Service-Managed Standard: AWS Control Tower、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 關鍵 | |
變更已觸發 |
| RDS.3 | RDS 資料庫執行個體應該啟用靜態加密 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中型 | |
變更已觸發 |
| RDS.4 | RDS 叢集快照和資料庫快照應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| RDS.5 | RDS 資料庫執行個體應該設定多個可用區域 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| RDS.6 | 應為 RDS 資料庫執行個體設定增強型監控 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 低 | |
變更已觸發 |
| RDS.7 | RDS 叢集應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 低 | |
變更已觸發 |
| RDS.8 | RDS 資料庫執行個體應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 低 | |
變更已觸發 |
| RDS.9 | RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| RDS.10 | 應為 RDS 執行個體設定 IAM 身分驗證 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| RDS.11 | RDS 執行個體應該啟用自動備份 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| RDS.12 | 應為 RDS 叢集設定 IAM 身分驗證 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| RDS.13 | 應啟用 RDS 自動次要版本升級 | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service-Managed Standard: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| RDS.14 | Amazon Aurora 叢集應該已啟用恢復 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| RDS.15 | 應為多個可用區域設定 RDS 資料庫叢集 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| RDS.16 | RDS 資料庫叢集應設定為將標籤複製到快照 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 低 | |
變更已觸發 |
| RDS.17 | RDS 資料庫執行個體應設定為將標籤複製到快照 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 低 | |
變更已觸發 |
| RDS.18 | RDS 執行個體應部署在 VPC 中 | 服務受管標準: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| RDS.19 | 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 低 | |
變更已觸發 |
| RDS.20 | 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 低 | |
變更已觸發 |
| RDS.21 | 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 低 | |
變更已觸發 |
| RDS.22 | 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 低 | |
變更已觸發 |
| RDS.23 | RDS 執行個體不應使用資料庫引擎預設連接埠 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 低 | |
變更已觸發 |
| RDS.24 | RDS 資料庫叢集應使用自訂管理員使用者名稱 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| RDS.25 | RDS 資料庫執行個體應使用自訂管理員使用者名稱 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| RDS.26 | RDS 資料庫執行個體應受備份計劃保護 | NIST SP 800-53 修訂版 5 | 中型 | |
定期 |
| RDS.27 | RDS 資料庫叢集應靜態加密 | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| RDS.28 | RDS 資料庫叢集應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| RDS.29 | RDS 資料庫叢集快照應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| RDS.30 | RDS 資料庫執行個體應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| RDS.31 | RDS 資料庫安全群組應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| RDS.32 | RDS 資料庫快照應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| RDS.33 | RDS 資料庫子網路群組應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| RDS.34 | Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| RDS.35 | RDS 資料庫叢集應該啟用自動次要版本升級 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| RDS.36 | RDS for PostgreSQL 資料庫執行個體應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | 中型 | 變更已觸發 | |
| RDS.37 | Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | 中型 | 變更已觸發 | |
| RDS.38 | RDS for PostgreSQL 資料庫執行個體應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| RDS.39 | RDS for MySQL 資料庫執行個體應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| RDS.40 | RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| RDS.41 | RDS for SQL Server 資料庫執行個體應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| RDS.42 | RDS for MariaDB 資料庫執行個體應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| RDS.44 | RDS for MariaDB 資料庫執行個體應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| Redshift.1 | Amazon Redshift 叢集應禁止公開存取 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 3.2.1 版,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 關鍵 | |
變更已觸發 |
| Redshift.2 | Amazon Redshift 叢集的連線應在傳輸中加密 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Redshift.3 | Amazon Redshift 叢集應該啟用自動快照 | AWS 基礎安全最佳實務 1.0.0 版,NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| Redshift.4 | Amazon Redshift 叢集應該啟用稽核記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| Redshift.6 | Amazon Redshift 應該已啟用主要版本的自動升級 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Redshift.7 | Redshift 叢集應使用增強型 VPC 路由 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Redshift.8 | Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Redshift.9 | Redshift 叢集不應使用預設資料庫名稱 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Redshift.10 | Redshift 叢集應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| Redshift.11 | 應標記 Redshift 叢集 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Redshift.12 | 應標記 Redshift 事件訂閱通知 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Redshift.13 | 應標記 Redshift 叢集快照 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Redshift.14 | 應標記 Redshift 叢集子網路群組 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Redshift.15 | Redshift 安全群組應僅允許來自受限原始伺服器的叢集連接埠輸入 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | HIGH (高) | 定期 | |
| Redshift.16 | Redshift 叢集子網路群組應該具有來自多個可用區域的子網路 | NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| Redshift.17 | 應標記 Redshift 叢集參數群組 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| RedshiftServerless.1 | Amazon Redshift Serverless 工作群組應使用增強型 VPC 路由 | AWS 基礎安全最佳實務 | HIGH (高) | 定期 | |
| RedshiftServerless.2 | 使用 SSL 時,需要連線至 Redshift Serverless 工作群組 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| RedshiftServerless.3 | Redshift Serverless 工作群組應禁止公開存取 | AWS 基礎安全最佳實務 | HIGH (高) | 定期 | |
| RedshiftServerless.4 | Redshift Serverless 命名空間應使用客戶受管加密 AWS KMS keys | NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| RedshiftServerless.5 | Redshift Serverless 命名空間不應使用預設的管理員使用者名稱 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| RedshiftServerless.6 | Redshift Serverless 命名空間應將日誌匯出至 CloudWatch Logs | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| RedshiftServerless.7 | Redshift Serverless 命名空間不應使用預設資料庫名稱 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| Route53.1 | Route 53 運作狀態檢查應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Route53.2 | Route 53 公有託管區域應記錄 DNS 查詢 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| S3.1 | S3 一般用途儲存貯體應啟用封鎖公開存取設定 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服務管理標準: AWS Control Tower | 中型 | 定期 | |
| S3.2 | S3 一般用途儲存貯體應封鎖公開讀取存取 | AWS 基礎安全最佳實務,服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 關鍵 | 變更已觸發和定期 | |
| S3.3 | S3 一般用途儲存貯體應封鎖公有寫入存取 | AWS 基礎安全最佳實務,服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 關鍵 | 變更已觸發和定期 | |
| S3.5 | S3 一般用途儲存貯體應要求請求使用 SSL | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1、服務管理標準: AWS Control Tower | 中型 | 變更已觸發 | |
| S3.6 | S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶 | AWS 基礎安全最佳實務,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2 | HIGH (高) | 變更已觸發 | |
| S3.7 | S3 一般用途儲存貯體應使用跨區域複寫 | PCI DSS v3.2.1、NIST SP 800-53 修訂版 5 | 低 | 變更已觸發 | |
| S3.8 | S3 一般用途儲存貯體應封鎖公開存取 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、Service-Managed Standard: AWS Control Tower | HIGH (高) | 變更已觸發 | |
| S3.9 | S3 一般用途儲存貯體應啟用伺服器存取記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | 變更已觸發 | |
| S3.10 | 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態 | NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| S3.11 | S3 一般用途儲存貯體應啟用事件通知 | NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | 中型 | 變更已觸發 | |
| S3.12 | ACLs不應用於管理使用者對 S3 一般用途儲存貯體的存取 | AWS 基礎安全最佳實務,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| S3.13 | S3 一般用途儲存貯體應具有生命週期組態 | AWS 基礎安全最佳實務,服務受管標準: AWS Control Tower,NIST SP 800-53 修訂版 5 | 低 | 變更已觸發 | |
| S3.14 | S3 一般用途儲存貯體應該已啟用版本控制 | NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | 低 | 變更已觸發 | |
| S3.15 | S3 一般用途儲存貯體應該已啟用物件鎖定 | NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版 | 中型 | 變更已觸發 | |
| S3.17 | S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys | NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS 4.0.1、服務受管標準: AWS Control Tower | 中型 | 變更已觸發 | |
| S3.19 | S3 存取點應該啟用封鎖公開存取設定 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 關鍵 | 變更已觸發 | |
| S3.20 | S3 一般用途儲存貯體應啟用 MFA 刪除 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 低 | 變更已觸發 | |
| S3.22 | S3 一般用途儲存貯體應記錄物件層級寫入事件 | CIS AWS Foundations Benchmark 3.0.0 版、PCI DSS 4.0.1 版 | 中型 | 定期 | |
| S3.23 | S3 一般用途儲存貯體應記錄物件層級讀取事件 | CIS AWS Foundations Benchmark 3.0.0 版、PCI DSS 4.0.1 版 | 中型 | 定期 | |
| S3.24 | S3 多區域存取點應啟用封鎖公開存取設定 | AWS 基礎安全最佳實務,PCI DSS v4.0.1 | HIGH (高) | 變更已觸發 | |
| SageMaker.1 | Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 3.2.1 版,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | HIGH (高) | |
定期 |
| SageMaker.2 | SageMaker 筆記本執行個體應該在自訂 VPC 中啟動 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | HIGH (高) | |
變更已觸發 |
| SageMaker.3 | 使用者不應擁有 SageMaker 筆記本執行個體的根存取權 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | HIGH (高) | |
變更已觸發 |
| SageMaker.4 | SageMaker 端點生產變體的初始執行個體計數應大於 1 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 定期 | |
| SageMaker.5 | SageMaker 模型應該封鎖傳入流量 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| SageMaker.6 | SageMaker 應用程式映像組態應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| SageMaker.7 | SageMaker 映像應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| SageMaker.8 | SageMaker 筆記本執行個體應在支援的平台上執行 | AWS 基礎安全最佳實務 | 中型 | 定期 | |
| SecretsManager.1 | Secrets Manager 秘密應該啟用自動輪換 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| SecretsManager.2 | 設定自動輪換的 Secrets Manager 秘密應能成功輪換 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
變更已觸發 |
| SecretsManager.3 | 移除未使用的 Secrets Manager 秘密 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,服務管理標準: AWS Control Tower | 中型 | |
定期 |
| SecretsManager.4 | Secrets Manager 秘密應該在指定的天數內輪換 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版,服務受管標準: AWS Control Tower | 中型 | |
定期 |
| SecretsManager.5 | Secrets Manager 秘密應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| ServiceCatalog.1 | Service Catalog 產品組合應該只在 AWS 組織內共用 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | HIGH (高) | 定期 | |
| SES.1 | SES 聯絡人清單應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| SES.2 | SES 組態集應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| SNS.1 | SNS 主題應使用 靜態加密 AWS KMS | NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | 中型 | 變更已觸發 | |
| SNS.3 | 應標記 SNS 主題 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| SNS.4 | SNS 主題存取政策不應允許公開存取 | AWS 基礎安全最佳實務 | HIGH (高) | 變更已觸發 | |
| SQS.1 | Amazon SQS 佇列應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| SQS.2 | SQS 佇列應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| SQS.3 | SQS 佇列存取政策不應允許公開存取 | AWS 基礎安全最佳實務 | HIGH (高) | 變更已觸發 | |
| SSM.1 | EC2 執行個體應該由 管理 AWS Systems Manager | AWS 基礎安全最佳實務 v1.0.0、服務受管標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中型 | |
變更已觸發 |
| SSM.2 | Systems Manager 管理的 EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,NIST SP 800-171 修訂版 2,PCI DSS v3.2.1,PCI DSS v4.0.1,服務受管標準: AWS Control Tower | HIGH (高) | |
變更已觸發 |
| SSM.3 | Systems Manager 管理的 EC2 執行個體應具有 COMPLIANT 的關聯合規狀態 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服務受管標準: AWS Control Tower | 低 | |
變更已觸發 |
| SSM.4 | SSM 文件不應公開 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 關鍵 | |
定期 |
| SSM.5 | SSM 文件應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| StepFunctions.1 | Step Functions 狀態機器應該已開啟記錄 | AWS 基礎安全最佳實務,PCI DSS 4.0.1 版 | 中型 | |
變更已觸發 |
| StepFunctions.2 | 應標記 Step Functions 活動 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Transfer.1 | Transfer Family 工作流程應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Transfer.2 | Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | 定期 | |
| Transfer.3 | Transfer Family 連接器應該已啟用記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 修訂版 5 | 中型 | 變更已觸發 | |
| Transfer.4 | Transfer Family 協議應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Transfer.5 | Transfer Family 憑證應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Transfer.6 | Transfer Family 連接器應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| Transfer.7 | Transfer 系列設定檔應加上標籤 | AWS 資源標記標準 | 低 | 變更已觸發 | |
| WAF.1 | AWS 應啟用 WAF Classic Global Web ACL 記錄 | AWS 基礎安全最佳實務,NIST SP 800-53 第 5 版,PCI DSS 4.0.1 版 | 中型 | |
定期 |
| WAF.2 | AWS WAF Classic Regional 規則應至少有一個條件 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| WAF.3 | AWS WAF Classic Regional 規則群組應至少有一個規則 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| WAF.4 | AWS WAF Classic Regional Web ACLs應至少有一個規則或規則群組 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| WAF.6 | AWS WAF Classic 全域規則應至少有一個條件 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| WAF.7 | AWS WAF Classic 全域規則群組應至少有一個規則 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| WAF.8 | AWS WAF Classic 全域 Web ACLs應至少有一個規則或規則群組 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | 中型 | |
變更已觸發 |
| WAF.10 | AWS WAF Web ACLs應該至少有一個規則或規則群組 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NIST SP 800-53 第 5 版 | 中型 | |
變更已觸發 |
| WAF.11 | AWS 應啟用 WAF Web ACL 記錄 | NIST SP 800-53 修訂版 5,PCI DSS 4.0.1 版 | 低 | |
定期 |
| WAF.12 | AWS WAF 規則應該啟用 CloudWatch 指標 | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | 中型 | |
變更已觸發 |
| WorkSpaces.1 | WorkSpaces 使用者磁碟區應靜態加密 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 | |
| WorkSpaces.2 | WorkSpaces 根磁碟區應靜態加密 | AWS 基礎安全最佳實務 | 中型 | 變更已觸發 |
