本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Security Hub CSPM 中的安全標準
<a name="standards-view-manage"></a>

在 AWS Security Hub CSPM 中，*安全標準*是根據法規架構、產業最佳實務或公司政策的一組要求。如需 Security Hub CSPM 目前支援之標準的詳細資訊，包括適用於每個標準的安全控制，請參閱 [Security Hub CSPM 的標準參考](standards-reference.md)。

當您啟用標準時，Security Hub CSPM 會自動啟用適用於標準的所有控制項。Security Hub CSPM 接著會對控制項執行安全檢查，這會產生 Security Hub CSPM 調查結果。您可以視需要停用 和之後重新啟用個別控制項。您也可以完全停用標準。如果您停用標準，Security Hub CSPM 會停止對適用於標準的控制項執行安全檢查。問題清單不會再針對控制項產生。

除了調查結果之外，Security Hub CSPM 還會為您啟用的每個標準產生安全分數。分數是根據適用於標準之控制項的狀態。如果您設定彙總區域，標準的安全分數會反映所有連結區域的控制項狀態。如果您是組織的 Security Hub CSPM 管理員，分數會反映組織中所有帳戶的控制項狀態。如需詳細資訊，請參閱[計算安全分數](standards-security-score.md)。

若要檢閱和管理標準，您可以使用 Security Hub CSPM 主控台或 Security Hub CSPM API。在主控台上，**安全標準**頁面會顯示 Security Hub CSPM 目前支援的所有安全標準。這包括每個標準的描述，以及標準的目前狀態。如果您啟用標準，您也可以使用此頁面來存取標準的其他詳細資訊。例如，您可以檢閱：
+ 標準目前的安全分數。
+ 適用於標準之控制項的彙總統計資料。
+ 適用於標準且目前已啟用的控制項清單，包括每個控制項的合規狀態。
+ 適用於標準但目前已停用的控制項清單。

若要進行更深入的分析，您可以篩選和排序資料，並向下切入以檢閱適用於標準之個別控制項的詳細資訊。

您可以個別啟用單一帳戶和 的標準 AWS 區域。不過，為了節省時間並減少多帳戶和多區域環境中的組態偏離，我們建議您使用[中央組態](central-configuration-intro.md)來啟用和管理標準。透過中央組態，委派的 Security Hub CSPM 管理員可以建立政策，指定如何在多個帳戶和區域中設定標準。

**Topics**
+ [標準參考](standards-reference.md)
+ [啟用標準](enable-standards.md)
+ [檢閱標準的詳細資訊](securityhub-standards-view-controls.md)
+ [關閉自動啟用的標準](securityhub-auto-enabled-standards.md)
+ [停用標準](disable-standards.md)

# Security Hub CSPM 的標準參考
<a name="standards-reference"></a>

在 AWS Security Hub CSPM 中，*安全標準*是根據法規架構、產業最佳實務或公司政策的一組要求。Security Hub CSPM 會將這些需求映射至控制項，並對控制項執行安全檢查，以評估是否符合標準的需求。每個標準都包含多個控制項。

Security Hub CSPM 目前支援下列標準：
+ **AWS 基礎安全最佳實務** – 此標準由 AWS 和 業界專業人員開發，是組織安全最佳實務的編譯，無論產業或大小。它提供一組控制項，可偵測您的 AWS 帳戶 和資源何時偏離安全最佳實務。它還提供有關如何改善和維護安全狀態的規範性指導。
+ **AWS 資源標記** – 此標準由 Security Hub CSPM 開發，可協助您判斷 AWS 資源是否具有標籤。*標籤*是做為 AWS 資源中繼資料的鍵/值對。標籤可協助您識別、分類、管理和搜尋 AWS 資源。例如，您可以使用標籤，依用途、擁有者或環境來分類資源。
+ **CIS AWS Foundations Benchmark** – 此標準由網際網路安全中心 (CIS) 開發，提供 的安全組態準則 AWS。它為 和 資源的子集指定一組安全組態準則 AWS 服務 和最佳實務，強調基礎、可測試和架構無關的設定。這些準則包括明確的step-by-step實作和評估程序。
+ **NIST SP 800-53 修訂版 5** – 此標準符合國家標準技術研究所 (NIST) 的要求，以保護資訊系統和關鍵資源的機密性、完整性和可用性。相關聯的架構通常適用於與美國聯邦機構或資訊系統合作的美國聯邦機構或組織。不過，私有組織也可以使用需求做為指導架構。
+ **NIST SP 800-171 修訂版 2** – 此標準符合 NIST 安全建議和要求，以保護不屬於美國政府的系統和組織中受控未分類資訊 (CUI) 的機密性。*CUI* 是不符合政府分類標準，但被視為敏感的資訊，由美國聯邦政府或代表美國聯邦政府的其他實體建立或擁有。
+ **PCI DSS** – 此標準符合 PCI 安全標準委員會 (SSC) 定義的支付卡產業資料安全標準 (PCI DSS) 合規架構。框架提供一組規則和準則，以安全地處理信用卡和簽帳金融卡資訊。此架構通常適用於存放、處理或傳輸持卡人資料的組織。
+ **服務受管標準 – AWS Control Tower** 此標準可協助您設定 Security Hub CSPM 提供的偵測性控制 AWS Control Tower。 AWS Control Tower 提供簡單的方法來設定和管理 AWS 多帳戶環境，並遵循規範的最佳實務。

Security Hub CSPM 標準和控制項不保證符合任何法規架構或稽核。反之，它們提供了評估和監控 AWS 帳戶 和 資源狀態的方法。我們建議您啟用與您的業務需求、產業或使用案例相關的每個標準。

個別控制項可以套用至多個標準。如果您啟用多個標準，我們建議您也啟用合併的控制調查結果。如果您這樣做，即使控制項套用到多個標準，Security Hub CSPM 也會為每個控制項產生單一問題清單。如果您未開啟合併控制調查結果，Security Hub CSPM 會為每個控制項套用的已啟用標準產生個別調查結果。例如，如果您啟用兩個標準，且控制項適用於這兩個標準，則會收到兩個單獨的控制項調查結果，每個標準各一個。如果您啟用合併的控制項問題清單，則只會收到一個控制項的問題清單。如需詳細資訊，請參閱[合併的控制問題清單](controls-findings-create-update.md#consolidated-control-findings)。

**Topics**
+ [AWS 基礎安全最佳實務](fsbp-standard.md)
+ [AWS 資源標記](standards-tagging.md)
+ [CIS AWS Foundations 基準](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 修訂版 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 修訂版 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [服務受管標準](service-managed-standards.md)

# AWS Security Hub CSPM 中的基礎安全最佳實務標準
<a name="fsbp-standard"></a>

由 AWS 和業界專業人員開發， AWS 基礎安全最佳實務 (FSBP) 標準是組織安全最佳實務的編譯，無論組織部門或大小。它提供一組控制項，可偵測 AWS 帳戶 和資源何時偏離安全最佳實務。它還提供有關如何改善和維護組織安全狀態的規範性指導。

在 AWS Security Hub CSPM 中， AWS 基礎安全最佳實務標準包含持續評估 AWS 帳戶 和 工作負載的控制項，並協助您識別偏離安全最佳實務的領域。這些控制項包含來自多個 資源的安全最佳實務 AWS 服務。每個控制項都會指派一個類別，以反映控制項套用的安全函數。如需類別和其他詳細資訊的清單，請參閱 [控制類別](control-categories.md)。

## 適用於標準的控制項
<a name="fsbp-controls"></a>

以下清單指定哪些 AWS Security Hub CSPM 控制項適用於基礎安全最佳實務標準 AWS (v1.0.0)。若要檢閱控制項的詳細資訊，請選擇控制項。

 [【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1) 

 [【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約](acm-controls.md#acm-1) 

 [【ACM.2】 由 ACM 管理的 RSA 憑證應使用至少 2，048 位元的金鑰長度](acm-controls.md#acm-2) 

 [【APIGateway.1] 應啟用 API Gateway REST 和 WebSocket API 執行記錄](apigateway-controls.md#apigateway-1) 

 [【APIGateway.2] API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證](apigateway-controls.md#apigateway-2) 

 [【APIGateway.3] API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤](apigateway-controls.md#apigateway-3) 

 [【APIGateway.4] API Gateway 應與 WAF Web ACL 建立關聯](apigateway-controls.md#apigateway-4) 

 [【APIGateway.5] API Gateway REST API 快取資料應靜態加密](apigateway-controls.md#apigateway-5) 

 [【APIGateway.8] API Gateway 路由應指定授權類型](apigateway-controls.md#apigateway-8) 

 [【APIGateway.9] 應為 API Gateway V2 階段設定存取記錄](apigateway-controls.md#apigateway-9) 

 [【APIGateway.10] API Gateway V2 整合應使用 HTTPS 進行私有連線](apigateway-controls.md#apigateway-10) 

 [【AppSync.1] AWS AppSync API 快取應靜態加密](appsync-controls.md#appsync-1) 

 [【AppSync.2] AWS AppSync 應該啟用欄位層級記錄](appsync-controls.md#appsync-2) 

 [【AppSync.5] AWS AppSync GraphQL APIs不應使用 API 金鑰進行身分驗證](appsync-controls.md#appsync-5) 

 [【AppSync.6] AWS AppSync API 快取應在傳輸中加密](appsync-controls.md#appsync-6) 

 [【Athena.4】 Athena 工作群組應該已啟用記錄](athena-controls.md#athena-4) 

 [【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查](autoscaling-controls.md#autoscaling-1) 

 [【AutoScaling.2] Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域](autoscaling-controls.md#autoscaling-2) 

 [【AutoScaling.3] Auto Scaling 群組啟動組態應將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)](autoscaling-controls.md#autoscaling-3) 

 [【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址](autoscaling-controls.md#autoscaling-5) 

 [【AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型](autoscaling-controls.md#autoscaling-6) 

 [【AutoScaling.9] Amazon EC2 Auto Scaling 群組應使用 Amazon EC2 啟動範本](autoscaling-controls.md#autoscaling-9) 

 [【Backup.1】 AWS Backup 復原點應靜態加密](backup-controls.md#backup-1) 

 [【CloudFormation.3] CloudFormation 堆疊應啟用終止保護](cloudformation-controls.md#cloudformation-3) 

 [【CloudFormation.4] CloudFormation 堆疊應具有相關聯的服務角色](cloudformation-controls.md#cloudformation-4) 

 [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1) 

 [【CloudFront.3] CloudFront 分佈應要求傳輸中加密](cloudfront-controls.md#cloudfront-3) 

 [【CloudFront.4] CloudFront 分佈應設定原始伺服器容錯移轉](cloudfront-controls.md#cloudfront-4) 

 [【CloudFront.5] CloudFront 分佈應該已啟用記錄](cloudfront-controls.md#cloudfront-5) 

 [【CloudFront.6] CloudFront 分佈應該啟用 WAF](cloudfront-controls.md#cloudfront-6) 

 [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7) 

 [【CloudFront.8] CloudFront 分佈應使用 SNI 來提供 HTTPS 請求](cloudfront-controls.md#cloudfront-8) 

 [【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器](cloudfront-controls.md#cloudfront-9) 

 [【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10) 

 [【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器](cloudfront-controls.md#cloudfront-12) 

 [【CloudFront.13] CloudFront 分佈應使用原始存取控制](cloudfront-controls.md#cloudfront-13) 

 [【CloudFront.15] CloudFront 分佈應使用建議的 TLS 安全政策](cloudfront-controls.md#cloudfront-15) 

 [【CloudFront.16] CloudFront 分佈應使用 Lambda 函數 URL 原始伺服器的原始存取控制](cloudfront-controls.md#cloudfront-16) 

 [【CloudFront.17] CloudFront 分佈應針對簽章URLs 和 Cookie 使用信任的金鑰群組](cloudfront-controls.md#cloudfront-17) 

 [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2) 

 [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4) 

 [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5) 

 [【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料](codebuild-controls.md#codebuild-1) 

 [【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料](codebuild-controls.md#codebuild-2) 

 [【CodeBuild.3] CodeBuild S3 日誌應加密](codebuild-controls.md#codebuild-3) 

 [【CodeBuild.4] CodeBuild AWS Config專案環境應具有記錄 URL](codebuild-controls.md#codebuild-4) 

 [【CodeBuild.7] CodeBuild 報告群組匯出應靜態加密](codebuild-controls.md#codebuild-7) 

 [【Cognito.2】 Cognito 身分集區不應允許未驗證的身分](cognito-controls.md#cognito-2) 

 [【Cognito.3】 Cognito 使用者集區的密碼政策應具有強大的組態](cognito-controls.md#cognito-3) 

 [【Cognito.4】 Cognito 使用者集區應以完整功能強制執行模式啟用威脅防護，以進行自訂身分驗證](cognito-controls.md#cognito-4) 

 [【Cognito.5】 應為 Cognito 使用者集區啟用 MFA](cognito-controls.md#cognito-5) 

 [【Cognito.6】 Cognito 使用者集區應該啟用刪除保護](cognito-controls.md#cognito-6) 

 [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) 

 [【Connect.2】 Amazon Connect 執行個體應該啟用 CloudWatch 記錄](connect-controls.md#connect-2) 

 [【DataFirehose.1] Firehose 交付串流應靜態加密](datafirehose-controls.md#datafirehose-1) 

 [【DataSync.1] DataSync 任務應該已啟用記錄](datasync-controls.md#datasync-1) 

 [【DMS.1】 Database Migration Service 複寫執行個體不應為公有](dms-controls.md#dms-1) 

 [【DMS.6】 DMS 複寫執行個體應啟用自動次要版本升級](dms-controls.md#dms-6) 

 [【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-7) 

 [【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-8) 

 [【DMS.9】 DMS 端點應使用 SSL](dms-controls.md#dms-9) 

 [【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權](dms-controls.md#dms-10) 

 [【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制](dms-controls.md#dms-11) 

 [【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS](dms-controls.md#dms-12) 

 [【DMS.13】 DMS 複寫執行個體應設定為使用多個可用區域](dms-controls.md#dms-13) 

 [【DocumentDB.1] Amazon DocumentDB 叢集應靜態加密](documentdb-controls.md#documentdb-1) 

 [【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期](documentdb-controls.md#documentdb-2) 

 [【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開](documentdb-controls.md#documentdb-3) 

 [【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs](documentdb-controls.md#documentdb-4) 

 [【DocumentDB.5] Amazon DocumentDB 叢集應該啟用刪除保護](documentdb-controls.md#documentdb-5) 

 [【DocumentDB.6] Amazon DocumentDB 叢集應在傳輸中加密](documentdb-controls.md#documentdb-6) 

 [【DynamoDB.1] DynamoDB 資料表應隨著需求自動擴展容量](dynamodb-controls.md#dynamodb-1) 

 [【DynamoDB.2] DynamoDB 資料表應該啟用point-in-time復原](dynamodb-controls.md#dynamodb-2) 

 [【DynamoDB.3] DynamoDB Accelerator (DAX) 叢集應靜態加密](dynamodb-controls.md#dynamodb-3) 

 [【DynamoDB.6] DynamoDB 資料表應該已啟用刪除保護](dynamodb-controls.md#dynamodb-6) 

 [【DynamoDB.7] DynamoDB Accelerator 叢集應在傳輸中加密](dynamodb-controls.md#dynamodb-7) 

 [【EC2.1】 Amazon EBS 快照不應可公開還原](ec2-controls.md#ec2-1) 

 [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2) 

 [【EC2.3】 連接的 Amazon EBS 磁碟區應靜態加密](ec2-controls.md#ec2-3) 

 [【EC2.4】 已停止的 EC2 執行個體應在指定的期間之後移除](ec2-controls.md#ec2-4) 

 [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6) 

 [【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7) 

 [【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8) 

 [【EC2.9】 Amazon EC2 執行個體不應具有公有 IPv4 地址](ec2-controls.md#ec2-9) 

 [【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點](ec2-controls.md#ec2-10) 

 [【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址](ec2-controls.md#ec2-15) 

 [【EC2.16】 應該移除未使用的網路存取控制清單](ec2-controls.md#ec2-16) 

 [【EC2.17】 Amazon EC2 執行個體不應使用多個 ENIs](ec2-controls.md#ec2-17) 

 [【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量](ec2-controls.md#ec2-18) 

 [【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](ec2-controls.md#ec2-19) 

 [【EC2.20】 用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動](ec2-controls.md#ec2-20) 

 [【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21) 

 [【EC2.23】 Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求](ec2-controls.md#ec2-23) 

 [【EC2.24】 不應使用 Amazon EC2 全虛擬化執行個體類型](ec2-controls.md#ec2-24) 

 [【EC2.25】 Amazon EC2 啟動範本不應將公IPs 指派給網路介面](ec2-controls.md#ec2-25) 

 [【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄](ec2-controls.md#ec2-51) 

[【EC2.55】 VPCs應使用 ECR API 的介面端點進行設定](ec2-controls.md#ec2-55)

[【EC2.56】 VPCs應使用 Docker Registry 的介面端點進行設定](ec2-controls.md#ec2-56)

[【EC2.57】 VPCs應使用 Systems Manager 的介面端點進行設定](ec2-controls.md#ec2-57)

[【EC2.58】 VPCs應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定](ec2-controls.md#ec2-58)

[【EC2.60】 VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定](ec2-controls.md#ec2-60)

 [【EC2.170】 EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-170) 

 [【EC2.171】 EC2 VPN 連線應該已啟用記錄](ec2-controls.md#ec2-171) 

 [【EC2.172】 EC2 VPC 封鎖公開存取設定應封鎖網際網路閘道流量](ec2-controls.md#ec2-172) 

 [【EC2.173】 具有啟動參數的 EC2 Spot 機群請求應啟用已連接 EBS 磁碟區的加密](ec2-controls.md#ec2-173) 

 [【EC2.180】 EC2 網路介面應啟用來源/目的地檢查](ec2-controls.md#ec2-180) 

 [【EC2.181】 EC2 啟動範本應為連接的 EBS 磁碟區啟用加密](ec2-controls.md#ec2-181) 

 [【EC2.182】 不應公開存取 Amazon EBS 快照](ec2-controls.md#ec2-182) 

 [【ECR.1】 ECR 私有儲存庫應設定映像掃描](ecr-controls.md#ecr-1) 

 [【ECR.2】 ECR 私有儲存庫應設定標籤不可變性](ecr-controls.md#ecr-2) 

 [【ECR.3】 ECR 儲存庫應至少設定一個生命週期政策](ecr-controls.md#ecr-3) 

 [【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義](ecs-controls.md#ecs-1) 

 [【ECS.2】 ECS 服務不應自動為其指派公有 IP 地址](ecs-controls.md#ecs-2) 

 [【ECS.3】 ECS 任務定義不應共用主機的程序命名空間](ecs-controls.md#ecs-3) 

 [【ECS.4】 ECS 容器應以非特殊權限執行](ecs-controls.md#ecs-4) 

 [【ECS.5】 ECS 任務定義應將容器設定為僅限對根檔案系統的唯讀存取](ecs-controls.md#ecs-5) 

 [【ECS.8】 不應將秘密做為容器環境變數傳遞](ecs-controls.md#ecs-8) 

 [【ECS.9】 ECS 任務定義應具有記錄組態](ecs-controls.md#ecs-9) 

 [【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行](ecs-controls.md#ecs-10) 

 [【ECS.12】 ECS 叢集應使用 Container Insights](ecs-controls.md#ecs-12) 

 [【ECS.16】 ECS 任務集不應自動指派公有 IP 地址](ecs-controls.md#ecs-16) 

 [【ECS.18】 ECS 任務定義應針對 EFS 磁碟區使用傳輸中加密](ecs-controls.md#ecs-18) 

 [【ECS.19】 ECS 容量提供者應啟用受管終止保護](ecs-controls.md#ecs-19) 

 [【ECS.20】 ECS 任務定義應在 Linux 容器定義中設定非根使用者](ecs-controls.md#ecs-20) 

 [【ECS.21】 ECS 任務定義應在 Windows 容器定義中設定非管理員使用者](ecs-controls.md#ecs-21) 

 [【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1) 

 [【EFS.2】 Amazon EFS 磁碟區應位於備份計劃中](efs-controls.md#efs-2) 

 [【EFS.3】 EFS 存取點應強制執行根目錄](efs-controls.md#efs-3) 

 [【EFS.4】 EFS 存取點應強制執行使用者身分](efs-controls.md#efs-4) 

 [【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯](efs-controls.md#efs-6) 

 [【EFS.7】 EFS 檔案系統應該啟用自動備份](efs-controls.md#efs-7) 

 [【EFS.8】 EFS 檔案系統應靜態加密](efs-controls.md#efs-8) 

 [【EKS.1】 不應公開存取 EKS 叢集端點](eks-controls.md#eks-1) 

 [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) 

 [【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密](eks-controls.md#eks-3) 

 [【EKS.8】 EKS 叢集應該啟用稽核記錄](eks-controls.md#eks-8) 

 [【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份](elasticache-controls.md#elasticache-1) 

 [【ElastiCache.2] ElastiCache 叢集應該啟用自動次要版本升級](elasticache-controls.md#elasticache-2) 

 [【ElastiCache.3] ElastiCache 複寫群組應該啟用自動容錯移轉](elasticache-controls.md#elasticache-3) 

 [【ElastiCache.4] ElastiCache 複寫群組應靜態加密](elasticache-controls.md#elasticache-4) 

 [【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密](elasticache-controls.md#elasticache-5) 

 [【ElastiCache.6] 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH](elasticache-controls.md#elasticache-6) 

 [【ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組](elasticache-controls.md#elasticache-7) 

 [【ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強型運作狀態報告](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [【ElasticBeanstalk.3] Elastic Beanstalk 應將日誌串流至 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS](elb-controls.md#elb-1) 

 [【ELB.2】 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager](elb-controls.md#elb-2) 

 [【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定](elb-controls.md#elb-3) 

 [【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭](elb-controls.md#elb-4) 

 [【ELB.5】 應啟用應用程式和 Classic Load Balancer 記錄](elb-controls.md#elb-5) 

 [【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護](elb-controls.md#elb-6) 

 [【ELB.7】 Classic Load Balancer 應啟用連線耗盡](elb-controls.md#elb-7) 

 [【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應使用預先定義的安全政策，該政策具有強烈驅動](elb-controls.md#elb-8) 

 [【ELB.9】 Classic Load Balancer 應啟用跨區域負載平衡](elb-controls.md#elb-9) 

 [【ELB.10】 Classic Load Balancer 應跨越多個可用區域](elb-controls.md#elb-10) 

 [【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-12) 

 [【ELB.13】 應用程式、網路和閘道負載平衡器應跨越多個可用區域](elb-controls.md#elb-13) 

 [【ELB.14】 Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-14) 

 [【ELB.17】 具有接聽程式的應用程式和網路負載平衡器應使用建議的安全政策](elb-controls.md#elb-17) 

 [【ELB.18】 應用程式和 Network Load Balancer 接聽程式應使用安全通訊協定來加密傳輸中的資料](elb-controls.md#elb-18) 

 [【ELB.21】 應用程式和 Network Load Balancer 目標群組應使用加密的運作狀態檢查通訊協定](elb-controls.md#elb-21) 

 [【ELB.22】 ELB 目標群組應使用加密傳輸通訊協定](elb-controls.md#elb-22) 

 [【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址](emr-controls.md#emr-1) 

 [【EMR.2】 應啟用 Amazon EMR 封鎖公開存取設定](emr-controls.md#emr-2) 

 [【EMR.3】 Amazon EMR 安全組態應靜態加密](emr-controls.md#emr-3) 

 [【EMR.4】 Amazon EMR 安全組態應在傳輸中加密](emr-controls.md#emr-4) 

 [【ES.1】 Elasticsearch 網域應該啟用靜態加密](es-controls.md#es-1) 

 [【ES.2】 不應公開存取 Elasticsearch 網域](es-controls.md#es-2) 

 [【ES.3】 Elasticsearch 網域應該加密節點之間傳送的資料](es-controls.md#es-3) 

 [【ES.4】 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤](es-controls.md#es-4) 

 [【ES.5】 Elasticsearch 網域應該啟用稽核記錄](es-controls.md#es-5) 

 [【ES.6】 Elasticsearch 網域應至少具有三個資料節點](es-controls.md#es-6) 

 [【ES.7】 Elasticsearch 網域應該至少設定三個專用主節點](es-controls.md#es-7) 

 [【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線](es-controls.md#es-8) 

 [【EventBridge.3] EventBridge 自訂事件匯流排應連接以資源為基礎的政策](eventbridge-controls.md#eventbridge-3) 

 [【FSx.1] FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區](fsx-controls.md#fsx-1) 

 [【FSx.2] FSx for Lustre 檔案系統應設定為將標籤複製到備份](fsx-controls.md#fsx-2) 

 [【FSx.3] FSx for OpenZFS 檔案系統應設定為異地同步備份部署](fsx-controls.md#fsx-3) 

 [【FSx.4] FSx for NetApp ONTAP 檔案系統應設定為異地同步備份部署](fsx-controls.md#fsx-4) 

 [【FSx.5] FSx for Windows File Server 檔案系統應設定為異地同步備份部署](fsx-controls.md#fsx-5) 

 [【Glue.3】 AWS Glue 機器學習轉換應該靜態加密](glue-controls.md#glue-3) 

 [【Glue.4】 AWS Glue Spark 任務應在支援的 版本上執行 AWS Glue](glue-controls.md#glue-4) 

 [【GuardDuty.1] 應啟用 GuardDuty](guardduty-controls.md#guardduty-1) 

 [【GuardDuty.5] 應啟用 GuardDuty EKS 稽核日誌監控](guardduty-controls.md#guardduty-5) 

 [【GuardDuty.6] 應啟用 GuardDuty Lambda 保護](guardduty-controls.md#guardduty-6) 

 [【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控](guardduty-controls.md#guardduty-7) 

 [【GuardDuty.8] 應啟用 EC2 的 GuardDuty 惡意軟體防護](guardduty-controls.md#guardduty-8) 

 [【GuardDuty.9] 應啟用 GuardDuty RDS 保護](guardduty-controls.md#guardduty-9) 

 [【GuardDuty.10] 應啟用 GuardDuty S3 保護](guardduty-controls.md#guardduty-10) 

 [【GuardDuty.11] 應啟用 GuardDuty 執行期監控](guardduty-controls.md#guardduty-11) 

 [【GuardDuty.12] 應啟用 GuardDuty ECS 執行期監控](guardduty-controls.md#guardduty-12) 

 [【GuardDuty.13] 應啟用 GuardDuty EC2 執行期監控](guardduty-controls.md#guardduty-13) 

 [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1) 

 [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2) 

 [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3) 

 [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4) 

 [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5) 

 [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6) 

 [【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7) 

 [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8) 

 [【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作](iam-controls.md#iam-21) 

 [【Inspector.1】 應啟用 Amazon Inspector EC2 掃描](inspector-controls.md#inspector-1) 

 [【Inspector.2】 應啟用 Amazon Inspector ECR 掃描](inspector-controls.md#inspector-2) 

 [【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描](inspector-controls.md#inspector-3) 

 [【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描](inspector-controls.md#inspector-4) 

 [【Kinesis.1】 Kinesis 串流應靜態加密](kinesis-controls.md#kinesis-1) 

 [【Kinesis.3】 Kinesis 串流應具有足夠的資料保留期](kinesis-controls.md#kinesis-3) 

 [【KMS.1】 IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作](kms-controls.md#kms-1) 

 [【KMS.2】 IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策](kms-controls.md#kms-2) 

 [【KMS.3】 AWS KMS keys 不應意外刪除](kms-controls.md#kms-3) 

 [【KMS.5】 不應公開存取 KMS 金鑰](kms-controls.md#kms-5) 

 [【Lambda.1】 Lambda 函數政策應禁止公開存取](lambda-controls.md#lambda-1) 

 [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) 

 [【Lambda.5】 VPC Lambda 函數應該在多個可用區域中操作](lambda-controls.md#lambda-5) 

 [【Macie.1】 應啟用 Amazon Macie](macie-controls.md#macie-1) 

 [【Macie.2】 應啟用 Macie 自動化敏感資料探索](macie-controls.md#macie-2) 

 [【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch](mq-controls.md#mq-2) 

 [【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級](mq-controls.md#mq-3) 

 [【MSK.1】 MSK 叢集應在代理程式節點之間傳輸時加密](msk-controls.md#msk-1) 

 [【MSK.3】 MSK Connect 連接器應在傳輸中加密](msk-controls.md#msk-3) 

 [【MSK.4】 MSK 叢集應停用公有存取](msk-controls.md#msk-4) 

 [【MSK.5】 MSK 連接器應該已啟用記錄](msk-controls.md#msk-5) 

 [【MSK.6】 MSK 叢集應停用未驗證的存取](msk-controls.md#msk-6) 

 [【Neptune.1】 Neptune 資料庫叢集應靜態加密](neptune-controls.md#neptune-1) 

 [【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](neptune-controls.md#neptune-2) 

 [【Neptune.3】 Neptune 資料庫叢集快照不應公開](neptune-controls.md#neptune-3) 

 [【Neptune.4】 Neptune 資料庫叢集應啟用刪除保護](neptune-controls.md#neptune-4) 

 [【Neptune.5】 Neptune 資料庫叢集應該啟用自動備份](neptune-controls.md#neptune-5) 

 [【Neptune.6】 Neptune 資料庫叢集快照應靜態加密](neptune-controls.md#neptune-6) 

 [【Neptune.7】 Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證](neptune-controls.md#neptune-7) 

 [【Neptune.8】 Neptune 資料庫叢集應設定為將標籤複製到快照](neptune-controls.md#neptune-8) 

 [【NetworkFirewall.2] 應啟用網路防火牆記錄](networkfirewall-controls.md#networkfirewall-2) 

 [【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組](networkfirewall-controls.md#networkfirewall-3) 

 [【NetworkFirewall.4] Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包](networkfirewall-controls.md#networkfirewall-4) 

 [【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包](networkfirewall-controls.md#networkfirewall-5) 

 [【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空](networkfirewall-controls.md#networkfirewall-6) 

 [【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護](networkfirewall-controls.md#networkfirewall-9) 

 [【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護](networkfirewall-controls.md#networkfirewall-10) 

 [【Opensearch.1】 OpenSearch 網域應該啟用靜態加密](opensearch-controls.md#opensearch-1) 

 [【Opensearch.2】 不應公開存取 OpenSearch 網域](opensearch-controls.md#opensearch-2) 

 [【Opensearch.3】 OpenSearch 網域應該加密節點之間傳送的資料](opensearch-controls.md#opensearch-3) 

 [【Opensearch.4】 應啟用 CloudWatch Logs 的 OpenSearch 網域錯誤記錄](opensearch-controls.md#opensearch-4) 

 [【Opensearch.5】 OpenSearch 網域應該啟用稽核記錄](opensearch-controls.md#opensearch-5) 

 [【Opensearch.6】 OpenSearch 網域應至少具有三個資料節點](opensearch-controls.md#opensearch-6) 

 [【Opensearch.7】 OpenSearch 網域應啟用精細存取控制](opensearch-controls.md#opensearch-7) 

 [【Opensearch.8】 應使用最新的 TLS 安全政策加密 OpenSearch 網域的連線](opensearch-controls.md#opensearch-8) 

 [【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10) 

 [【PCA.1】應停用 AWS 私有 CA 根憑證授權單位](pca-controls.md#pca-1) 

 [【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢](route53-controls.md#route53-2) 

 [【RDS.1】 RDS 快照應為私有](rds-controls.md#rds-1) 

 [【RDS.2】 RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定](rds-controls.md#rds-2) 

 [[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3) 

 [【RDS.4】 RDS 叢集快照和資料庫快照應靜態加密](rds-controls.md#rds-4) 

 [【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域](rds-controls.md#rds-5) 

 [【RDS.6】 應為 RDS 資料庫執行個體設定增強型監控](rds-controls.md#rds-6) 

 [【RDS.7】 RDS 叢集應該啟用刪除保護](rds-controls.md#rds-7) 

 [【RDS.8】 RDS 資料庫執行個體應啟用刪除保護](rds-controls.md#rds-8) 

 [【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-9) 

 [【RDS.10】 應為 RDS 執行個體設定 IAM 身分驗證](rds-controls.md#rds-10) 

 [【RDS.11】 RDS 執行個體應該啟用自動備份](rds-controls.md#rds-11) 

 [【RDS.12】 應為 RDS 叢集設定 IAM 身分驗證](rds-controls.md#rds-12) 

 [【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13) 

 [【RDS.14】 Amazon Aurora 叢集應該已啟用恢復](rds-controls.md#rds-14) 

 [【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集](rds-controls.md#rds-15) 

 [【RDS.16】 Aurora 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-16) 

 [【RDS.17】 RDS 資料庫執行個體應設定為將標籤複製到快照](rds-controls.md#rds-17) 

 [【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-19) 

 [【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-20) 

 [【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-21) 

 [【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-22) 

 [【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠](rds-controls.md#rds-23) 

 [【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱](rds-controls.md#rds-24) 

 [【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱](rds-controls.md#rds-25) 

 [【RDS.27】 RDS 資料庫叢集應靜態加密](rds-controls.md#rds-27) 

 [【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](rds-controls.md#rds-34) 

 [【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級](rds-controls.md#rds-35) 

 [【RDS.36】 RDS for PostgreSQL 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-36) 

 [【RDS.37】 Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-37) 

 [【RDS.40】 RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-40) 

 [【RDS.41】 RDS for SQL Server 資料庫執行個體應在傳輸中加密](rds-controls.md#rds-41) 

 [【RDS.42】 RDS for MariaDB 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-42) 

 [【RDS.43】 RDS 資料庫代理應該需要連線的 TLS 加密](rds-controls.md#rds-43) 

 [【RDS.44】 RDS for MariaDB 資料庫執行個體應在傳輸中加密](rds-controls.md#rds-44) 

 [【RDS.45】 Aurora MySQL 資料庫叢集應該啟用稽核記錄](rds-controls.md#rds-45) 

 [【RDS.46】 RDS 資料庫執行個體不應部署在具有網際網路閘道路由的公有子網路中](rds-controls.md#rds-46) 

 [【RDS.47】 RDS for PostgreSQL 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-47) 

 [【RDS.48】 RDS for MySQL 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-48) 

 [【RDS.50】 RDS 資料庫叢集應設定足夠的備份保留期間](rds-controls.md#rds-50) 

 [【Redshift.1】 Amazon Redshift 叢集應禁止公開存取](redshift-controls.md#redshift-1) 

 [【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密](redshift-controls.md#redshift-2) 

 [【Redshift.3】 Amazon Redshift 叢集應該啟用自動快照](redshift-controls.md#redshift-3) 

 [【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄](redshift-controls.md#redshift-4) 

 [【Redshift.6】 Amazon Redshift 應已啟用主要版本的自動升級](redshift-controls.md#redshift-6) 

 [【Redshift.7】 Redshift 叢集應使用增強型 VPC 路由](redshift-controls.md#redshift-7) 

 [【Redshift.8】 Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱](redshift-controls.md#redshift-8) 

 [【Redshift.10】 應靜態加密 Redshift 叢集](redshift-controls.md#redshift-10) 

 [【Redshift.15】 Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠](redshift-controls.md#redshift-15) 

 [【Redshift.18】 Redshift 叢集應啟用異地同步備份部署](redshift-controls.md#redshift-18) 

 [【RedshiftServerless.1] Amazon Redshift Serverless 工作群組應使用增強型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1) 

 [【RedshiftServerless.2] 必須使用 SSL 連線到 Redshift Serverless 工作群組](redshiftserverless-controls.md#redshiftserverless-2) 

 [【RedshiftServerless.3] Redshift Serverless 工作群組應禁止公開存取](redshiftserverless-controls.md#redshiftserverless-3) 

 [【RedshiftServerless.5] Redshift Serverless 命名空間不應使用預設的管理員使用者名稱](redshiftserverless-controls.md#redshiftserverless-5) 

 [【RedshiftServerless.6] Redshift Serverless 命名空間應將日誌匯出至 CloudWatch Logs](redshiftserverless-controls.md#redshiftserverless-6) 

 [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1) 

 [【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取](s3-controls.md#s3-2) 

 [【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取](s3-controls.md#s3-3) 

 [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5) 

 [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6) 

 [【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8) 

 [【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9) 

 [【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取](s3-controls.md#s3-12) 

 [【S3.13】 S3 一般用途儲存貯體應具有生命週期組態](s3-controls.md#s3-13) 

 [【S3.19】 S3 存取點應啟用封鎖公開存取設定](s3-controls.md#s3-19) 

 [【S3.24】 S3 多區域存取點應啟用封鎖公開存取設定](s3-controls.md#s3-24) 

 [【S3.25】 S3 目錄儲存貯體應該具有生命週期組態](s3-controls.md#s3-25) 

 [【SageMaker.1] Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取](sagemaker-controls.md#sagemaker-1) 

 [【SageMaker.2] 應在自訂 VPC 中啟動 SageMaker 筆記本執行個體](sagemaker-controls.md#sagemaker-2) 

 [【SageMaker.3] 使用者不應擁有 SageMaker 筆記本執行個體的根存取權](sagemaker-controls.md#sagemaker-3) 

 [【SageMaker.4] SageMaker 端點生產變體的初始執行個體計數應大於 1](sagemaker-controls.md#sagemaker-4) 

 [【SageMaker.5] SageMaker 模型應該啟用網路隔離](sagemaker-controls.md#sagemaker-5) 

 [【SageMaker.8] SageMaker 筆記本執行個體應在支援的平台上執行](sagemaker-controls.md#sagemaker-8) 

 [【SageMaker.9] SageMaker 資料品質任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-9) 

 [【SageMaker.10] SageMaker 模型可解釋性任務定義應啟用容器間流量加密](sagemaker-controls.md#sagemaker-10) 

 [【SageMaker.11] SageMaker 資料品質任務定義應該啟用網路隔離](sagemaker-controls.md#sagemaker-11) 

 [【SageMaker.12] SageMaker 模型偏差任務定義應該啟用網路隔離](sagemaker-controls.md#sagemaker-12) 

 [【SageMaker.13] SageMaker 模型品質任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-13) 

 [【SageMaker.14] SageMaker 監控排程應該啟用網路隔離](sagemaker-controls.md#sagemaker-14) 

 [【SageMaker.15] SageMaker 模型偏差任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-15) 

 [【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換](secretsmanager-controls.md#secretsmanager-1) 

 [【SecretsManager.2] 設定自動輪換的 Secrets Manager 秘密應能成功輪換](secretsmanager-controls.md#secretsmanager-2) 

 [【SecretsManager.3] 移除未使用的 Secrets Manager 秘密](secretsmanager-controls.md#secretsmanager-3) 

 [【SecretsManager.4] Secrets Manager 秘密應在指定的天數內輪換](secretsmanager-controls.md#secretsmanager-4) 

 [【ServiceCatalog.1] Service Catalog 產品組合只能在 AWS 組織內共用](servicecatalog-controls.md#servicecatalog-1) 

 [【SES.3】 SES 組態集應啟用 TLS 以傳送電子郵件](ses-controls.md#ses-3) 

 [【SNS.4】 SNS 主題存取政策不應允許公開存取](sns-controls.md#sns-4) 

 [【SQS.1】 Amazon SQS 佇列應靜態加密](sqs-controls.md#sqs-1) 

 [【SQS.3】 SQS 佇列存取政策不應允許公開存取](sqs-controls.md#sqs-3) 

 [【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager](ssm-controls.md#ssm-1) 

 [【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態](ssm-controls.md#ssm-2) 

 [【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態](ssm-controls.md#ssm-3) 

 [【SSM.4】 SSM 文件不應公開](ssm-controls.md#ssm-4) 

 [【SSM.6】 SSM Automation 應該啟用 CloudWatch 記錄](ssm-controls.md#ssm-6) 

 [【SSM.7】 SSM 文件應啟用封鎖公開共用設定](ssm-controls.md#ssm-7) 

 [【StepFunctions.1] Step Functions 狀態機器應該已開啟記錄](stepfunctions-controls.md#stepfunctions-1) 

 [【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線](transfer-controls.md#transfer-2) 

 [【Transfer.3】 Transfer Family 連接器應該已啟用記錄](transfer-controls.md#transfer-3) 

 [【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄](waf-controls.md#waf-1) 

 [【WAF.2】 AWS WAF 傳統區域規則應至少有一個條件](waf-controls.md#waf-2) 

 [【WAF.3】 AWS WAF 傳統區域規則群組應至少有一個規則](waf-controls.md#waf-3) 

 [【WAF.4】 AWS WAF 傳統區域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-4) 

 [【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件](waf-controls.md#waf-6) 

 [【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則](waf-controls.md#waf-7) 

 [【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-8) 

 [【WAF.10】 AWS WAF Web ACLs應至少有一個規則或規則群組](waf-controls.md#waf-10) 

 [【WAF.12】 AWS WAF 規則應啟用 CloudWatch 指標](waf-controls.md#waf-12) 

 [【WorkSpaces.1] 應靜態加密 WorkSpaces 使用者磁碟區](workspaces-controls.md#workspaces-1) 

 [【WorkSpaces.2] WorkSpaces 根磁碟區應靜態加密](workspaces-controls.md#workspaces-2) 

# AWS Security Hub CSPM 中的資源標記標準
<a name="standards-tagging"></a>

 AWS Security Hub CSPM 開發 AWS 的資源標記標準可協助您判斷 AWS 資源是否遺失標籤。*標籤*是鍵/值對，可做為組織 AWS 資源的中繼資料。對於大多數 AWS 資源，您可以在建立資源時或建立資源之後，選擇將標籤新增至資源。資源的範例包括 Amazon CloudFront 分佈、Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和 中的秘密 AWS Secrets Manager。標籤可協助您管理、識別、組織、搜尋和篩選 AWS 資源。

每個 標籤都有兩個部分：
+ 標籤索引鍵 - 例如 `CostCenter`、 `Environment`或 `Project`。標籤金鑰會區分大小寫。
+ 標籤值 - 例如， `111122223333`或 `Production`。與標籤金鑰相同，標籤值會區分大小寫。

您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。如需將標籤新增至 AWS 資源的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

對於適用於 Security Hub CSPM 中 AWS 資源標記標準的每個控制項，您可以選擇使用支援的參數來指定要控制項檢查的標籤金鑰。如果您未指定任何標籤索引鍵，控制項只會檢查是否存在至少一個標籤索引鍵，如果資源沒有任何標籤索引鍵，則 會失敗。

啟用 AWS 資源標記標準之前，請務必在其中啟用和設定資源記錄 AWS Config。當您設定資源記錄時，也請務必針對套用標準之控制項檢查的所有 AWS 資源類型啟用它。否則，Security Hub CSPM 可能無法評估適當的資源，並為適用於標準的控制項產生準確的調查結果。如需詳細資訊，包括要記錄的資源類型清單，請參閱 [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)。

啟用 AWS 資源標記標準之後，您會開始接收適用於標準之控制項的調查結果。請注意，Security Hub CSPM 最多可能需要 18 小時才能產生控制項的問題清單，這些控制項使用相同的 AWS Config 服務連結規則做為適用於其他已啟用標準的控制項。如需詳細資訊，請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。

 AWS 資源標記標準具有下列 Amazon Resource Name (ARN)：`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`，其中 *region* 是適用的區域代碼 AWS 區域。您也可以使用 Security Hub CSPM API 的 [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) 操作來擷取目前啟用的標準 ARN。

**注意**  
[AWS 資源標記標準](#standards-tagging)不適用於亞太區域 （紐西蘭） 和亞太區域 （台北） 區域。

## 適用於標準的控制項
<a name="tagging-standard-controls"></a>

下列清單指定哪些 AWS Security Hub CSPM 控制項適用於 AWS 資源標記標準 (v1.0.0)。若要檢閱控制項的詳細資訊，請選擇控制項。
+ [【ACM.3】 ACM 憑證應加上標籤](acm-controls.md#acm-3)
+ [【Amplify.1】 Amplify 應用程式應加上標籤](amplify-controls.md#amplify-1)
+ [【Amplify.2】 Amplify 分支應加上標籤](amplify-controls.md#amplify-2)
+ [【AppConfig.1] AWS AppConfig 應用程式應加上標籤](appconfig-controls.md#appconfig-1)
+ [【AppConfig.2] AWS AppConfig 組態設定檔應加上標籤](appconfig-controls.md#appconfig-2)
+ [【AppConfig.3] AWS AppConfig 環境應加上標籤](appconfig-controls.md#appconfig-3)
+ [【AppConfig.4] AWS AppConfig 應標記延伸關聯](appconfig-controls.md#appconfig-4)
+ [【AppFlow.1] Amazon AppFlow 流程應加上標籤](appflow-controls.md#appflow-1)
+ [【AppRunner.1] App Runner 服務應加上標籤](apprunner-controls.md#apprunner-1)
+ [【AppRunner.2] 應標記 App Runner VPC 連接器](apprunner-controls.md#apprunner-2)
+ [【AppSync.4] AWS AppSync GraphQL APIs應加上標籤](appsync-controls.md#appsync-4)
+ [【Athena.2】 應標記 Athena 資料目錄](athena-controls.md#athena-2)
+ [【Athena.3】 應標記 Athena 工作群組](athena-controls.md#athena-3)
+ [【AutoScaling.10] 應標記 EC2 Auto Scaling 群組](autoscaling-controls.md#autoscaling-10)
+ [【Backup.2】 AWS Backup 復原點應加上標籤](backup-controls.md#backup-2)
+ [【Backup.3】 保存 AWS Backup 庫應加上標籤](backup-controls.md#backup-3)
+ [【Backup.4】應標記 AWS Backup 報告計劃](backup-controls.md#backup-4)
+ [【Backup.5】 AWS Backup 備份計劃應加上標籤](backup-controls.md#backup-5)
+ [【Batch.1】 批次任務佇列應加上標籤](batch-controls.md#batch-1)
+ [【Batch.2】 批次排程政策應加上標籤](batch-controls.md#batch-2)
+ [【Batch.3】 批次運算環境應加上標籤](batch-controls.md#batch-3)
+ [【Batch.4】 應標記受管批次運算環境中的運算資源屬性](batch-controls.md#batch-4)
+ [【CloudFormation.2] 應標記 CloudFormation 堆疊](cloudformation-controls.md#cloudformation-2)
+ [【CloudFront.14] 應標記 CloudFront 分佈](cloudfront-controls.md#cloudfront-14)
+ [【CloudTrail.9] 應標記 CloudTrail 追蹤](cloudtrail-controls.md#cloudtrail-9)
+ [【CodeArtifact.1]CodeArtifact 儲存庫應加上標籤](codeartifact-controls.md#codeartifact-1)
+ [【CodeGuruProfiler.1] 應標記 CodeGuru Profiler 分析群組](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [【CodeGuruReviewer.1] 應標記 CodeGuru Reviewer 儲存庫關聯](codegurureviewer-controls.md#codegurureviewer-1)
+ [【Connect.1】 Amazon Connect Customer Profiles 物件類型應加上標籤](connect-controls.md#connect-1)
+ [【DataSync.2] 應標記 DataSync 任務](datasync-controls.md#datasync-2)
+ [【Detective.1】 應標記 Detective 行為圖表](detective-controls.md#detective-1)
+ [【DMS.2】 DMS 憑證應加上標籤](dms-controls.md#dms-2)
+ [【DMS.3】 DMS 事件訂閱應加上標籤](dms-controls.md#dms-3)
+ [【DMS.4】 DMS 複寫執行個體應加上標籤](dms-controls.md#dms-4)
+ [【DMS.5】 DMS 複寫子網路群組應加上標籤](dms-controls.md#dms-5)
+ [【DynamoDB.5] DynamoDB 資料表應加上標籤](dynamodb-controls.md#dynamodb-5)
+ [【EC2.33】 EC2 傳輸閘道附件應加上標籤](ec2-controls.md#ec2-33)
+ [【EC2.34】 EC2 傳輸閘道路由表應加上標籤](ec2-controls.md#ec2-34)
+ [【EC2.35】 EC2 網路介面應加上標籤](ec2-controls.md#ec2-35)
+ [【EC2.36】 EC2 客戶閘道應加上標籤](ec2-controls.md#ec2-36)
+ [【EC2.37】 EC2 彈性 IP 地址應加上標籤](ec2-controls.md#ec2-37)
+ [【EC2.38】 EC2 執行個體應加上標籤](ec2-controls.md#ec2-38)
+ [【EC2.39】 EC2 網際網路閘道應加上標籤](ec2-controls.md#ec2-39)
+ [【EC2.40】 EC2 NAT 閘道應加上標籤](ec2-controls.md#ec2-40)
+ [【EC2.41】 EC2 網路 ACLs 應加上標籤](ec2-controls.md#ec2-41)
+ [【EC2.42】 EC2 路由表應加上標籤](ec2-controls.md#ec2-42)
+ [【EC2.43】 EC2 安全群組應加上標籤](ec2-controls.md#ec2-43)
+ [【EC2.44】 EC2 子網路應加上標籤](ec2-controls.md#ec2-44)
+ [【EC2.45】 EC2 磁碟區應加上標籤](ec2-controls.md#ec2-45)
+ [【EC2.46】 Amazon VPCs應加上標籤](ec2-controls.md#ec2-46)
+ [【EC2.47】 Amazon VPC 端點服務應加上標籤](ec2-controls.md#ec2-47)
+ [【EC2.48】 Amazon VPC 流程日誌應加上標籤](ec2-controls.md#ec2-48)
+ [【EC2.49】 Amazon VPC 對等互連應加上標籤](ec2-controls.md#ec2-49)
+ [【EC2.50】 EC2 VPN 閘道應加上標籤](ec2-controls.md#ec2-50)
+ [【EC2.52】 EC2 傳輸閘道應加上標籤](ec2-controls.md#ec2-52)
+ [【EC2.174】 EC2 DHCP 選項集應加上標籤](ec2-controls.md#ec2-174)
+ [【EC2.175】 EC2 啟動範本應加上標籤](ec2-controls.md#ec2-175)
+ [【EC2.176】 EC2 字首清單應加上標籤](ec2-controls.md#ec2-176)
+ [【EC2.177】 應標記 EC2 流量鏡像工作階段](ec2-controls.md#ec2-177)
+ [【EC2.178】 應標記 EC2 流量鏡像篩選條件](ec2-controls.md#ec2-178)
+ [【EC2.179】 應標記 EC2 流量鏡像目標](ec2-controls.md#ec2-179)
+ [【ECR.4】 ECR 公有儲存庫應加上標籤](ecr-controls.md#ecr-4)
+ [【ECS.13】 ECS 服務應加上標籤](ecs-controls.md#ecs-13)
+ [【ECS.14】 ECS 叢集應加上標籤](ecs-controls.md#ecs-14)
+ [【ECS.15】 ECS 任務定義應加上標籤](ecs-controls.md#ecs-15)
+ [【EFS.5】 EFS 存取點應加上標籤](efs-controls.md#efs-5)
+ [【EKS.6】 EKS 叢集應加上標籤](eks-controls.md#eks-6)
+ [【EKS.7】 EKS 身分提供者組態應加上標籤](eks-controls.md#eks-7)
+ [【ES.9】 應標記 Elasticsearch 網域](es-controls.md#es-9)
+ [【EventBridge.2] 應標記 EventBridge 事件匯流排](eventbridge-controls.md#eventbridge-2)
+ [【FraudDetector.1] Amazon Fraud Detector 實體類型應加上標籤](frauddetector-controls.md#frauddetector-1)
+ [【FraudDetector.2] Amazon Fraud Detector 標籤應加上標籤](frauddetector-controls.md#frauddetector-2)
+ [【FraudDetector.3] Amazon Fraud Detector 結果應加上標籤](frauddetector-controls.md#frauddetector-3)
+ [【FraudDetector.4] Amazon Fraud Detector 變數應加上標籤](frauddetector-controls.md#frauddetector-4)
+ [【GlobalAccelerator.1] 應標記 Global Accelerator 加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [【Glue.1】 AWS Glue 工作應加上標籤](glue-controls.md#glue-1)
+ [【GuardDuty.2] GuardDuty 篩選條件應加上標籤](guardduty-controls.md#guardduty-2)
+ [【GuardDuty.3] GuardDuty IPSets 應加上標籤](guardduty-controls.md#guardduty-3)
+ [【GuardDuty.4] GuardDuty 偵測器應加上標籤](guardduty-controls.md#guardduty-4)
+ [【IAM.23】 IAM Access Analyzer 分析器應加上標籤](iam-controls.md#iam-23)
+ [【IAM.24】 IAM 角色應加上標籤](iam-controls.md#iam-24)
+ [【IAM.25】 IAM 使用者應加上標籤](iam-controls.md#iam-25)
+ [【IoT.1] AWS IoT Device Defender 安全設定檔應加上標籤](iot-controls.md#iot-1)
+ [【IoT.2] AWS IoT Core 應標記緩解動作](iot-controls.md#iot-2)
+ [【IoT.3] AWS IoT Core 維度應加上標籤](iot-controls.md#iot-3)
+ [【IoT.4] AWS IoT Core 授權方應加上標籤](iot-controls.md#iot-4)
+ [【IoT.5] AWS IoT Core 角色別名應加上標籤](iot-controls.md#iot-5)
+ [【IoT.6] AWS IoT Core 政策應加上標籤](iot-controls.md#iot-6)
+ [【IoTEvents.1] AWS IoT Events 輸入應加上標籤](iotevents-controls.md#iotevents-1)
+ [【IoTEvents.2] AWS IoT Events 偵測器模型應加上標籤](iotevents-controls.md#iotevents-2)
+ [【IoTEvents.3] AWS IoT Events 警示模型應加上標籤](iotevents-controls.md#iotevents-3)
+ [【IoTSiteWise.1] AWS IoT SiteWise 資產模型應加上標籤](iotsitewise-controls.md#iotsitewise-1)
+ [【IoTSiteWise.2] AWS IoT SiteWise 儀表板應加上標籤](iotsitewise-controls.md#iotsitewise-2)
+ [【IoTSiteWise.3] AWS IoT SiteWise 閘道應加上標籤](iotsitewise-controls.md#iotsitewise-3)
+ [【IoTSiteWise.4] AWS IoT SiteWise 入口網站應加上標籤](iotsitewise-controls.md#iotsitewise-4)
+ [【IoTSiteWise.5] AWS IoT SiteWise 專案應加上標籤](iotsitewise-controls.md#iotsitewise-5)
+ [【IoTTwinMaker.1] AWS 應標記 IoT TwinMaker 同步任務](iottwinmaker-controls.md#iottwinmaker-1)
+ [【IoTTwinMaker.2] AWS IoT TwinMaker 工作區應加上標籤](iottwinmaker-controls.md#iottwinmaker-2)
+ [【IoTTwinMaker.3] AWS IoT TwinMaker 場景應加上標籤](iottwinmaker-controls.md#iottwinmaker-3)
+ [【IoTTwinMaker.4] AWS IoT TwinMaker 實體應加上標籤](iottwinmaker-controls.md#iottwinmaker-4)
+ [【IoTWireless.1] AWS IoT Wireless 多點傳送群組應加上標籤](iotwireless-controls.md#iotwireless-1)
+ [【IoTWireless.2] AWS IoT Wireless 服務設定檔應加上標籤](iotwireless-controls.md#iotwireless-2)
+ [【IoTWireless.3] AWS IoT FUOTA 任務應加上標籤](iotwireless-controls.md#iotwireless-3)
+ [【IVS.1】 IVS 播放金鑰對應加上標籤](ivs-controls.md#ivs-1)
+ [【IVS.2】 IVS 記錄組態應加上標籤](ivs-controls.md#ivs-2)
+ [【IVS.3】 IVS 頻道應加上標籤](ivs-controls.md#ivs-3)
+ [【Keyspaces.1】 Amazon Keyspaces 金鑰空間應加上標籤](keyspaces-controls.md#keyspaces-1)
+ [【Kinesis.2】 Kinesis 串流應加上標籤](kinesis-controls.md#kinesis-2)
+ [【Lambda.6】 應標記 Lambda 函數](lambda-controls.md#lambda-6)
+ [【MQ.4】 Amazon MQ 代理程式應加上標籤](mq-controls.md#mq-4)
+ [【NetworkFirewall.7] 應標記網路防火牆](networkfirewall-controls.md#networkfirewall-7)
+ [【NetworkFirewall.8] 應標記網路防火牆防火牆政策](networkfirewall-controls.md#networkfirewall-8)
+ [【Opensearch.9】 應標記 OpenSearch 網域](opensearch-controls.md#opensearch-9)
+ [【PCA.2】應標記 AWS 私有 CA 憑證授權單位](pca-controls.md#pca-2)
+ [【RDS.28】 RDS 資料庫叢集應加上標籤](rds-controls.md#rds-28)
+ [【RDS.29】 應標記 RDS 資料庫叢集快照](rds-controls.md#rds-29)
+ [【RDS.30】 RDS 資料庫執行個體應加上標籤](rds-controls.md#rds-30)
+ [【RDS.31】 RDS 資料庫安全群組應加上標籤](rds-controls.md#rds-31)
+ [【RDS.32】 RDS 資料庫快照應加上標籤](rds-controls.md#rds-32)
+ [【RDS.33】 RDS 資料庫子網路群組應加上標籤](rds-controls.md#rds-33)
+ [【Redshift.11】 應標記 Redshift 叢集](redshift-controls.md#redshift-11)
+ [【Redshift.12】 應標記 Redshift 事件通知訂閱](redshift-controls.md#redshift-12)
+ [【Redshift.13】 應標記 Redshift 叢集快照](redshift-controls.md#redshift-13)
+ [【Redshift.14】 應標記 Redshift 叢集子網路群組](redshift-controls.md#redshift-14)
+ [【Redshift.17】 應標記 Redshift 叢集參數群組](redshift-controls.md#redshift-17)
+ [【Route53.1】 應標記 Route 53 運作狀態檢查](route53-controls.md#route53-1)
+ [【SageMaker.6] 應標記 SageMaker 應用程式映像組態](sagemaker-controls.md#sagemaker-6)
+ [【SageMaker.7] 應標記 SageMaker 映像](sagemaker-controls.md#sagemaker-7)
+ [【SecretsManager.5] Secrets Manager 秘密應加上標籤](secretsmanager-controls.md#secretsmanager-5)
+ [【SES.1】 SES 聯絡人清單應加上標籤](ses-controls.md#ses-1)
+ [【SES.2】 SES 組態集應加上標籤](ses-controls.md#ses-2)
+ [【SNS.3】 SNS 主題應加上標籤](sns-controls.md#sns-3)
+ [【SQS.2】 SQS 佇列應加上標籤](sqs-controls.md#sqs-2)
+ [【SSM.5】 SSM 文件應加上標籤](ssm-controls.md#ssm-5)
+ [【StepFunctions.2] 應標記 Step Functions 活動](stepfunctions-controls.md#stepfunctions-2)
+ [【Transfer.1】 AWS Transfer Family 工作流程應加上標籤](transfer-controls.md#transfer-1)
+ [【Transfer.4】 Transfer Family 協議應加上標籤](transfer-controls.md#transfer-4)
+ [【Transfer.5】 Transfer Family 憑證應加上標籤](transfer-controls.md#transfer-5)
+ [【Transfer.6】 Transfer Family 連接器應加上標籤](transfer-controls.md#transfer-6)
+ [【Transfer.7】 轉移系列設定檔應加上標籤](transfer-controls.md#transfer-7)

# Security Hub CSPM 中的 CIS AWS Foundations 基準
<a name="cis-aws-foundations-benchmark"></a>

Center for Internet Security (CIS) AWS Foundations Benchmark 可做為一組安全組態最佳實務 AWS。這些業界認可的最佳實務可為您提供清晰的step-by-step實作和評估程序。從作業系統到雲端服務和網路裝置，此基準中的控制項可協助您保護組織使用的特定系統。

AWS Security Hub CSPM 支援 CIS AWS Foundations Benchmark 5.0.0、3.0.0、1.4.0 和 1.2.0 版。此頁面列出每個版本支援的安全性控制項。它也提供 版本的比較。

## CIS AWS Foundations Benchmark 5.0.0 版
<a name="cis5v0-standard"></a>

Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的 5.0.0 版 (5.0.0 版）。Security Hub CSPM 已滿足 CIS 安全軟體認證的要求，並已獲得下列 CIS 基準的 CIS 安全軟體認證：
+ CIS AWS Foundations Benchmark 的 CIS 基準，第 5.0.0 版，第 1 級
+ CIS AWS Foundations Benchmark 的 CIS 基準指標，第 5.0.0 版，第 2 級

### 適用於 CIS AWS Foundations Benchmark 5.0.0 版的控制項
<a name="cis5v0-controls"></a>

[【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)

[【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)

[【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)

[【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7)

[【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)

[【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)

[【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)

[【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7)

[【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8)

[【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)

[【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-53)

[【EC2.54】 EC2 安全群組不應允許從 ：：/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-54)

[【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1)

[【EFS.8】 EFS 檔案系統應靜態加密](efs-controls.md#efs-8)

[【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)

[【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)

[【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)

[[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)

[[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)

[【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)

[【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)

[【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)

[【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)

[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)

[【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證](iam-controls.md#iam-26)

[【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策](iam-controls.md#iam-27)

[【IAM.28】 應啟用 IAM Access Analyzer 外部存取分析器](iam-controls.md#iam-28)

[【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)

[【RDS.2】 RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定](rds-controls.md#rds-2)

[[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3)

[【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域](rds-controls.md#rds-5)

[【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13)

[【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集](rds-controls.md#rds-15)

[【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)

[【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)

[【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)

[【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20)

[【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件](s3-controls.md#s3-22)

[【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark 3.0.0 版
<a name="cis3v0-standard"></a>

Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的 3.0.0 版 (v3.0.0)。Security Hub CSPM 已滿足 CIS 安全軟體認證的要求，並已獲得下列 CIS 基準的 CIS 安全軟體認證：
+ CIS AWS Foundations Benchmark 的 CIS Benchmark，第 3.0.0 版，第 1 級
+ CIS AWS Foundations Benchmark 的 CIS 基準指標，第 3.0.0 版，第 2 級

### 適用於 CIS AWS Foundations Benchmark 3.0.0 版的控制項
<a name="cis3v0-controls"></a>

[【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)

[【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)

[【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)

[【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7)

[【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)

[【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)

[【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)

[【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7)

[【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8)

[【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)

[【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-53)

[【EC2.54】 EC2 安全群組不應允許從 ：：/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-54)

[【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1)

[【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)

[【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)

[【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)

[[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)

[[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)

[【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)

[【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)

[【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)

[【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)

[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)

[【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證](iam-controls.md#iam-26)

[【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策](iam-controls.md#iam-27)

[【IAM.28】 應啟用 IAM Access Analyzer 外部存取分析器](iam-controls.md#iam-28)

[【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)

[【RDS.2】 RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定](rds-controls.md#rds-2)

[[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3)

[【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13)

[【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)

[【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)

[【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)

[【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20)

[【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件](s3-controls.md#s3-22)

[【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark 1.4.0 版
<a name="cis1v4-standard"></a>

Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的 1.4.0 版 (1.4.0 版）。

### 適用於 CIS AWS Foundations Benchmark 1.4.0 版的控制項
<a name="cis1v4-controls"></a>

 [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2) 

 [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4) 

 [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5) 

 [【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取](cloudtrail-controls.md#cloudtrail-6) 

 [【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7) 

 [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1) 

 [【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4) 

 [【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5) 

 [【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6) 

 [【CloudWatch.7] 確保日誌指標篩選條件和警示存在，以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7) 

 [【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8) 

 [【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9) 

 [【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10) 

 [【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11) 

 [【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12) 

 [【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13) 

 [【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14) 

 [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) 

 [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2) 

 [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6) 

 [【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7) 

 [【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21) 

 [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1) 

 [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3) 

 [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4) 

 [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5) 

 [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6) 

 [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9) 

 [【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15) 

 [【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16) 

 [【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18) 

 [【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22) 

 [【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4) 

 [[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3) 

 [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1) 

 [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5) 

 [【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8) 

 [【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark 1.2.0 版
<a name="cis1v2-standard"></a>

Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的 1.2.0 版 (1.2.0 版）。Security Hub CSPM 已滿足 CIS 安全軟體認證的要求，並已獲得下列 CIS 基準的 CIS 安全軟體認證：
+ CIS AWS Foundations Benchmark 的 CIS 基準，第 1.2.0 版，第 1 級
+ CIS AWS Foundations Benchmark 的 CIS Benchmark，第 1.2.0 版，第 2 級

### 適用於 CIS AWS Foundations Benchmark 1.2.0 版的控制項
<a name="cis1v2-controls"></a>

 [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2) 

 [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4) 

 [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5) 

 [【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取](cloudtrail-controls.md#cloudtrail-6) 

 [【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7) 

 [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1) 

 [【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-2) 

 [【CloudWatch.3] 確保沒有 MFA 的管理主控台登入存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-3) 

 [【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4) 

 [【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5) 

 [【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6) 

 [【CloudWatch.7] 確保日誌指標篩選條件和警示存在，以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7) 

 [【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8) 

 [【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9) 

 [【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10) 

 [【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11) 

 [【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12) 

 [【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13) 

 [【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14) 

 [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) 

 [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2) 

 [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6) 

 [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22](ec2-controls.md#ec2-13) 

 [【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389](ec2-controls.md#ec2-14) 

 [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1) 

 [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2) 

 [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3) 

 [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4) 

 [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5) 

 [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6) 

 [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8) 

 [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9) 

 [【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11) 

 [【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12) 

 [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13) 

 [【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14) 

 [【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15) 

 [【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16) 

 [【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17) 

 [【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18) 

 [【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4) 

## CIS AWS Foundations Benchmark 的版本比較
<a name="cis1.4-vs-cis1.2"></a>

本節摘要說明 Center for Internet Security (CIS) AWS Foundations Benchmark—v5.0.0、v3.0.0、v1.4.0 和 v1.2.0 的特定版本之間的差異。 AWS Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的每個版本。不過，我們建議您使用 v5.0.0 來保持最新的安全最佳實務。您可以同時啟用多個版本的 CIS AWS Foundations Benchmark 標準。如需啟用標準的資訊，請參閱 [啟用安全標準](enable-standards.md)。如果您想要升級至 v5.0.0，請在停用舊版之前啟用它。這可以防止安全檢查中的差距。如果您使用 Security Hub CSPM 與 整合， AWS Organizations 並想要在多個帳戶中批次啟用 v5.0.0，我們建議您使用[中央組態](central-configuration-intro.md)。

### 將控制項映射至每個版本中的 CIS 需求
<a name="cis-version-comparison"></a>

了解哪些 控制 CIS AWS Foundations Benchmark 支援的每個版本。


| 控制項 ID 和標題 | CIS v5.0.0 需求 | CIS v3.0.0 需求 | CIS v1.4.0 需求 | CIS v1.2.0 需求 | 
| --- | --- | --- | --- | --- | 
|  [【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5)  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  3.4  |  2.4  | 
|  [【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取](cloudtrail-controls.md#cloudtrail-6)  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  3.3  |  2.3  | 
|  [【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.3  |  3.3  | 
|  [【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-2)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  3.1  | 
|  [【CloudWatch.3] 確保沒有 MFA 的管理主控台登入存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-3)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  3.2  | 
|  [【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.4  |  3.4  | 
|  [【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.5  |  3.5  | 
|  [【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.6  |  3.6  | 
|  [【CloudWatch.7] 確保日誌指標篩選條件和警示存在，以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.7  |  3.7  | 
|  [【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.8  |  3.8  | 
|  [【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.9  |  3.9  | 
|  [【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.10  |  3.10  | 
|  [【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.11  |  3.11  | 
|  [【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.12  |  3.12  | 
|  [【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.13  |  3.13  | 
|  [【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  4.14  |  3.14  | 
|  [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  不支援  | 
|  [【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  不支援  |  不支援  | 
|  [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22](ec2-controls.md#ec2-13)  |  不支援 – 由需求 5.3 和 5.4 取代  |  不支援 – 由需求 5.2 和 5.3 取代  |  不支援 – 由需求 5.2 和 5.3 取代  |  4.1  | 
|  [【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389](ec2-controls.md#ec2-14)  |  不支援 – 由需求 5.3 和 5.4 取代  |  不支援 – 由需求 5.2 和 5.3 取代  |  不支援 – 由需求 5.2 和 5.3 取代  |  4.2  | 
|  [【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  不支援  | 
|  [【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  不支援  |  不支援  | 
|  [【EC2.54】 EC2 安全群組不應允許從 ：：/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  不支援  |  不支援  | 
|  [【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  不支援  |  不支援  | 
|  [【EFS.8】 EFS 檔案系統應靜態加密](efs-controls.md#efs-8)  |  2.3.1  |  不支援  |  不支援  |  不支援  | 
|  [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1)  |  不支援   |  不支援   |  1.16  |  1.22  | 
|  [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)  |  1.14  |  1.15  |  不支援  |  1.16  | 
|  [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)  |  不支援 – 請[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)改為參閱  |  不支援 – 請[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)改為參閱  |  不支援 – 請[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)改為參閱  |  1.3  | 
|  [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11)  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  1.5  | 
|  [【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12)  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  1.6  | 
|  [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13)  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  1.7  | 
|  [【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14)  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  1.8  | 
|  [【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)  |  1.7  |  1.8  |  1.8  |  1.9  | 
|  [【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17)  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  1.11  | 
|  [【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)  |  1.16  |  1.17  |  1.17  |  1.2  | 
|  [【IAM.20】 避免使用根使用者](iam-controls.md#iam-20)  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  不支援 – CIS 已移除此要求  |  1.1  | 
|  [【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證](iam-controls.md#iam-26)  |  1.18  |  1.19  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策](iam-controls.md#iam-27)  |  1.21  |  1.22  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【IAM.28】 應啟用 IAM Access Analyzer 外部存取分析器](iam-controls.md#iam-28)  |  1.19  |  1.20  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [【Macie.1】 應啟用 Amazon Macie](macie-controls.md#macie-1)  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  不支援 – 手動檢查  |  不支援 – 手動檢查  | 
|  [【RDS.2】 RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域](rds-controls.md#rds-5)  |  2.2.4  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集](rds-controls.md#rds-15)  |  2.2.4  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  不支援 – CIS 在較新版本中新增此需求  | 
|  [【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  不支援 – CIS 在較新版本中新增此需求  | 

### CIS AWS Foundations Benchmarks ARNs
<a name="cisv1.4.0-finding-fields"></a>

當您啟用一個或多個版本的 CIS AWS Foundations Benchmark 時，您會開始在 AWS 安全調查結果格式 (ASFF) 中接收調查結果。在 ASFF 中，每個版本使用以下 Amazon Resource Name (ARN)：

**CIS AWS Foundations Benchmark 5.0.0 版**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**CIS AWS Foundations Benchmark 3.0.0 版**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**CIS AWS Foundations Benchmark 1.4.0 版**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**CIS AWS Foundations Benchmark 1.2.0 版**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

您可以使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)的操作來尋找已啟用標準的 ARN。

上述值適用於 `StandardsArn`。不過， `StandardsSubscriptionArn`是指 Security Hub CSPM 在您透過[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)在區域中呼叫 來訂閱標準時建立的標準訂閱資源。

**注意**  
當您啟用 CIS AWS Foundations Benchmark 的版本時，Security Hub CSPM 最多可能需要 18 小時才能產生控制項的調查結果，這些控制項使用與其他已啟用標準中已啟用控制項相同的 AWS Config 服務連結規則。如需產生控制項問題清單之排程的詳細資訊，請參閱 [執行安全檢查的排程](securityhub-standards-schedule.md)。

如果您開啟合併控制問題清單，問題清單欄位會有所不同。如需這些差異的詳細資訊，請參閱 [整合對 ASFF 欄位和值的影響](asff-changes-consolidation.md)。如需範例控制調查結果，請參閱 [控制問題清單的範例](sample-control-findings.md)。

### Security Hub CSPM 中不支援的 CIS 需求
<a name="securityhub-standards-cis-checks-not-supported"></a>

如上表所述，Security Hub CSPM 不支援每個 CIS AWS Foundations Benchmark 版本中的每個 CIS 要求。許多不支援的需求只能透過手動檢閱 AWS 資源的狀態來評估。

# Security Hub CSPM 中的 NIST SP 800-53 修訂版 5
<a name="standards-reference-nist-800-53"></a>

NIST 特別出版物 800-53 修訂版 5 (NIST SP 800-53 修訂版 5) 是由國家標準技術研究所 (NIST) 所開發的網路安全和合規架構，NIST 是隸屬於美國商務部的機構。此合規架構提供安全和隱私權要求的目錄，以保護資訊系統和重要資源的機密性、完整性和可用性。美國聯邦政府機構和承包商必須遵守這些要求，以保護其系統和組織。私有組織也可以自願使用這些要求做為降低網路安全風險的指導方針架構。如需架構及其需求的詳細資訊，請參閱 [NIST 電腦安全資源中心的 NIST SP 800-53 修訂版 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)。 **

AWS Security Hub CSPM 提供安全控制，支援 NIST SP 800-53 修訂版 5 要求的子集。這些控制項會針對特定 AWS 服務 和 資源執行自動安全檢查。若要啟用和管理這些控制項，您可以在 Security Hub CSPM 中啟用 NIST SP 800-53 修訂版 5 架構作為標準。請注意，控制項不支援需要手動檢查的 NIST SP 800-53 修訂版 5 要求。

與其他架構不同，NIST SP 800-53 修訂版 5 架構並未規定應如何評估其需求。反之，架構會提供指導方針。在 Security Hub CSPM 中，NIST SP 800-53 修訂版 5 標準和控制項代表服務對這些準則的理解。

**Topics**
+ [設定 標準的資源記錄](#standards-reference-nist-800-53-recording)
+ [判斷哪些控制項適用於標準](#standards-reference-nist-800-53-controls)

## 設定適用於標準之控制項的資源記錄
<a name="standards-reference-nist-800-53-recording"></a>

若要最佳化涵蓋範圍和調查結果的準確性，請務必在 AWS Security Hub CSPM 中啟用 NIST SP 800-53 修訂版 5 標準 AWS Config 之前，先在 中啟用和設定資源記錄。當您設定資源記錄時，也請務必針對套用標準之控制項檢查的所有 AWS 資源類型啟用它。這主要適用於具有*變更觸發*排程類型的控制項。不過，某些具有*定期*排程類型的控制項也需要資源記錄。如果未啟用或正確設定資源記錄，Security Hub CSPM 可能無法評估適當的資源，並針對適用於標準的控制項產生準確的調查結果。

如需 Security Hub CSPM 如何在 中使用資源錄製的資訊 AWS Config，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需有關在 中設定資源錄製的資訊 AWS Config，請參閱《 *AWS Config 開發人員指南*》中的[使用組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。

下表指定適用於 Security Hub CSPM 中 NIST SP 800-53 修訂版 5 標準的控制項要記錄的資源類型。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## 判斷哪些控制項適用於標準
<a name="standards-reference-nist-800-53-controls"></a>

以下清單指定支援 NIST SP 800-53 修訂版 5 要求的控制項，並適用於 AWS Security Hub CSPM 中的 NIST SP 800-53 修訂版 5 標準。如需控制項支援的特定需求詳細資訊，請選擇控制項。然後，請參閱控制項詳細資訊中的**相關需求**欄位。此欄位指定控制項支援的每個 NIST 需求。如果 欄位未指定特定的 NIST 需求，則控制項不支援該需求。
+ [【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)
+ [【Account.2】 AWS 帳戶 應該是 AWS Organizations 組織的一部分](account-controls.md#account-2)
+ [【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約](acm-controls.md#acm-1)
+ [【APIGateway.1] 應啟用 API Gateway REST 和 WebSocket API 執行記錄](apigateway-controls.md#apigateway-1)
+  [【APIGateway.2] API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證](apigateway-controls.md#apigateway-2) 
+  [【APIGateway.3] API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤](apigateway-controls.md#apigateway-3) 
+  [【APIGateway.4] API Gateway 應與 WAF Web ACL 建立關聯](apigateway-controls.md#apigateway-4) 
+  [【APIGateway.5] API Gateway REST API 快取資料應靜態加密](apigateway-controls.md#apigateway-5) 
+  [【APIGateway.8] API Gateway 路由應指定授權類型](apigateway-controls.md#apigateway-8) 
+  [【APIGateway.9] 應為 API Gateway V2 階段設定存取記錄](apigateway-controls.md#apigateway-9) 
+  [【AppSync.5] AWS AppSync GraphQL APIs不應使用 API 金鑰進行身分驗證](appsync-controls.md#appsync-5) 
+  [【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查](autoscaling-controls.md#autoscaling-1) 
+  [【AutoScaling.2] Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域](autoscaling-controls.md#autoscaling-2) 
+  [【AutoScaling.3] Auto Scaling 群組啟動組態應將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址](autoscaling-controls.md#autoscaling-5) 
+  [【AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型](autoscaling-controls.md#autoscaling-6) 
+  [【AutoScaling.9] Amazon EC2 Auto Scaling 群組應使用 Amazon EC2 啟動範本](autoscaling-controls.md#autoscaling-9) 
+  [【Backup.1】 AWS Backup 復原點應靜態加密](backup-controls.md#backup-1) 
+  [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1) 
+  [【CloudFront.3] CloudFront 分佈應要求傳輸中加密](cloudfront-controls.md#cloudfront-3) 
+  [【CloudFront.4] CloudFront 分佈應設定原始伺服器容錯移轉](cloudfront-controls.md#cloudfront-4) 
+  [【CloudFront.5] CloudFront 分佈應該已啟用記錄](cloudfront-controls.md#cloudfront-5) 
+  [【CloudFront.6] CloudFront 分佈應該啟用 WAF](cloudfront-controls.md#cloudfront-6) 
+  [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7) 
+  [【CloudFront.8] CloudFront 分佈應使用 SNI 來提供 HTTPS 請求](cloudfront-controls.md#cloudfront-8) 
+  [【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器](cloudfront-controls.md#cloudfront-9) 
+  [【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10) 
+  [【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器](cloudfront-controls.md#cloudfront-12) 
+  [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2) 
+  [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4) 
+  [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5) 
+  [【CloudTrail.10] CloudTrail Lake 事件資料存放區應使用客戶受管加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [【CloudWatch.15] CloudWatch 警示應已設定指定的動作](cloudwatch-controls.md#cloudwatch-15) 
+  [【CloudWatch.16] CloudWatch 日誌群組應保留一段指定的時間](cloudwatch-controls.md#cloudwatch-16) 
+  [【CloudWatch.17] 應啟用 CloudWatch 警示動作](cloudwatch-controls.md#cloudwatch-17) 
+  [【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料](codebuild-controls.md#codebuild-1) 
+  [【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料](codebuild-controls.md#codebuild-2) 
+  [【CodeBuild.3] CodeBuild S3 日誌應加密](codebuild-controls.md#codebuild-3) 
+  [【CodeBuild.4] CodeBuild AWS Config專案環境應具有記錄 URL](codebuild-controls.md#codebuild-4) 
+  [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) 
+  [【DataFirehose.1] Firehose 交付串流應靜態加密](datafirehose-controls.md#datafirehose-1) 
+  [【DMS.1】 Database Migration Service 複寫執行個體不應為公有](dms-controls.md#dms-1) 
+  [【DMS.6】 DMS 複寫執行個體應啟用自動次要版本升級](dms-controls.md#dms-6) 
+  [【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-7) 
+  [【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-8) 
+  [【DMS.9】 DMS 端點應使用 SSL](dms-controls.md#dms-9) 
+  [【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權](dms-controls.md#dms-10) 
+  [【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制](dms-controls.md#dms-11) 
+  [【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS](dms-controls.md#dms-12) 
+  [【DocumentDB.1] Amazon DocumentDB 叢集應靜態加密](documentdb-controls.md#documentdb-1) 
+  [【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期](documentdb-controls.md#documentdb-2) 
+  [【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開](documentdb-controls.md#documentdb-3) 
+  [【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs](documentdb-controls.md#documentdb-4) 
+  [【DocumentDB.5] Amazon DocumentDB 叢集應該啟用刪除保護](documentdb-controls.md#documentdb-5) 
+  [【DynamoDB.1] DynamoDB 資料表應隨著需求自動擴展容量](dynamodb-controls.md#dynamodb-1) 
+  [【DynamoDB.2] DynamoDB 資料表應該啟用point-in-time復原](dynamodb-controls.md#dynamodb-2) 
+  [【DynamoDB.3] DynamoDB Accelerator (DAX) 叢集應靜態加密](dynamodb-controls.md#dynamodb-3) 
+  [【DynamoDB.4] DynamoDB 資料表應存在於備份計畫中](dynamodb-controls.md#dynamodb-4) 
+  [【DynamoDB.6] DynamoDB 資料表應該已啟用刪除保護](dynamodb-controls.md#dynamodb-6) 
+  [【DynamoDB.7] DynamoDB Accelerator 叢集應在傳輸中加密](dynamodb-controls.md#dynamodb-7) 
+  [【EC2.1】 Amazon EBS 快照不應可公開還原](ec2-controls.md#ec2-1) 
+  [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2) 
+  [【EC2.3】 連接的 Amazon EBS 磁碟區應靜態加密](ec2-controls.md#ec2-3) 
+  [【EC2.4】 已停止的 EC2 執行個體應在指定的期間之後移除](ec2-controls.md#ec2-4) 
+  [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6) 
+  [【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7) 
+  [【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8) 
+  [【EC2.9】 Amazon EC2 執行個體不應具有公有 IPv4 地址](ec2-controls.md#ec2-9) 
+  [【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點](ec2-controls.md#ec2-10) 
+  [【EC2.12】 應移除未使用的 Amazon EC2 EIPs](ec2-controls.md#ec2-12) 
+  [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22](ec2-controls.md#ec2-13) 
+  [【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址](ec2-controls.md#ec2-15) 
+  [【EC2.16】 應該移除未使用的網路存取控制清單](ec2-controls.md#ec2-16) 
+  [【EC2.17】 Amazon EC2 執行個體不應使用多個 ENIs](ec2-controls.md#ec2-17) 
+  [【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量](ec2-controls.md#ec2-18) 
+  [【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](ec2-controls.md#ec2-19) 
+  [【EC2.20】 用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動](ec2-controls.md#ec2-20) 
+  [【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21) 
+  [【EC2.23】 Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求](ec2-controls.md#ec2-23) 
+  [【EC2.24】 不應使用 Amazon EC2 全虛擬化執行個體類型](ec2-controls.md#ec2-24) 
+  [【EC2.25】 Amazon EC2 啟動範本不應將公IPs 指派給網路介面](ec2-controls.md#ec2-25) 
+  [【EC2.28】 備份計畫應涵蓋 EBS 磁碟區](ec2-controls.md#ec2-28) 
+  [【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄](ec2-controls.md#ec2-51) 
+ [【EC2.55】 VPCs應使用 ECR API 的介面端點進行設定](ec2-controls.md#ec2-55)
+ [【EC2.56】 VPCs應使用 Docker Registry 的介面端點進行設定](ec2-controls.md#ec2-56)
+ [【EC2.57】 VPCs應使用 Systems Manager 的介面端點進行設定](ec2-controls.md#ec2-57)
+ [【EC2.58】 VPCs應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定](ec2-controls.md#ec2-58)
+ [【EC2.60】 VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定](ec2-controls.md#ec2-60)
+  [【ECR.1】 ECR 私有儲存庫應設定映像掃描](ecr-controls.md#ecr-1) 
+  [【ECR.2】 ECR 私有儲存庫應設定標籤不可變性](ecr-controls.md#ecr-2) 
+  [【ECR.3】 ECR 儲存庫應至少設定一個生命週期政策](ecr-controls.md#ecr-3) 
+  [【ECR.5】 ECR 儲存庫應使用客戶受管加密 AWS KMS keys](ecr-controls.md#ecr-5) 
+  [【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義](ecs-controls.md#ecs-1) 
+  [【ECS.2】 ECS 服務不應自動為其指派公有 IP 地址](ecs-controls.md#ecs-2) 
+  [【ECS.3】 ECS 任務定義不應共用主機的程序命名空間](ecs-controls.md#ecs-3) 
+  [【ECS.4】 ECS 容器應以非特殊權限執行](ecs-controls.md#ecs-4) 
+  [【ECS.5】 ECS 任務定義應將容器設定為僅限對根檔案系統的唯讀存取](ecs-controls.md#ecs-5) 
+  [【ECS.8】 不應將秘密做為容器環境變數傳遞](ecs-controls.md#ecs-8) 
+  [【ECS.9】 ECS 任務定義應具有記錄組態](ecs-controls.md#ecs-9) 
+  [【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行](ecs-controls.md#ecs-10) 
+  [【ECS.12】 ECS 叢集應使用 Container Insights](ecs-controls.md#ecs-12) 
+  [【ECS.17】 ECS 任務定義不應使用主機網路模式](ecs-controls.md#ecs-17) 
+  [【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1) 
+  [【EFS.2】 Amazon EFS 磁碟區應位於備份計劃中](efs-controls.md#efs-2) 
+  [【EFS.3】 EFS 存取點應強制執行根目錄](efs-controls.md#efs-3) 
+  [【EFS.4】 EFS 存取點應強制執行使用者身分](efs-controls.md#efs-4) 
+  [【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯](efs-controls.md#efs-6) 
+  [【EKS.1】 不應公開存取 EKS 叢集端點](eks-controls.md#eks-1) 
+  [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) 
+  [【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密](eks-controls.md#eks-3) 
+  [【EKS.8】 EKS 叢集應該啟用稽核記錄](eks-controls.md#eks-8) 
+  [【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份](elasticache-controls.md#elasticache-1) 
+  [【ElastiCache.2] ElastiCache 叢集應該啟用自動次要版本升級](elasticache-controls.md#elasticache-2) 
+  [【ElastiCache.3] ElastiCache 複寫群組應該啟用自動容錯移轉](elasticache-controls.md#elasticache-3) 
+  [【ElastiCache.4] ElastiCache 複寫群組應靜態加密](elasticache-controls.md#elasticache-4) 
+  [【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密](elasticache-controls.md#elasticache-5) 
+  [【ElastiCache.6] 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [【ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組](elasticache-controls.md#elasticache-7) 
+  [【ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強型運作狀態報告](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS](elb-controls.md#elb-1) 
+  [【ELB.2】 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager](elb-controls.md#elb-2) 
+  [【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定](elb-controls.md#elb-3) 
+  [【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭](elb-controls.md#elb-4) 
+  [【ELB.5】 應啟用應用程式和 Classic Load Balancer 記錄](elb-controls.md#elb-5) 
+  [【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護](elb-controls.md#elb-6) 
+  [【ELB.7】 Classic Load Balancer 應啟用連線耗盡](elb-controls.md#elb-7) 
+  [【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應使用預先定義的安全政策，該政策具有強烈驅動](elb-controls.md#elb-8) 
+  [【ELB.9】 Classic Load Balancer 應啟用跨區域負載平衡](elb-controls.md#elb-9) 
+  [【ELB.10】 Classic Load Balancer 應跨越多個可用區域](elb-controls.md#elb-10) 
+  [【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-12) 
+  [【ELB.13】 應用程式、網路和閘道負載平衡器應跨越多個可用區域](elb-controls.md#elb-13) 
+  [【ELB.14】 Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-14) 
+  [【ELB.16】 Application Load Balancer 應與 AWS WAF Web ACL 建立關聯](elb-controls.md#elb-16) 
+  [【ELB.17】 具有接聽程式的應用程式和網路負載平衡器應使用建議的安全政策](elb-controls.md#elb-17) 
+  [【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址](emr-controls.md#emr-1) 
+  [【EMR.2】 應啟用 Amazon EMR 封鎖公開存取設定](emr-controls.md#emr-2) 
+  [【EMR.3】 Amazon EMR 安全組態應靜態加密](emr-controls.md#emr-3) 
+  [【EMR.4】 Amazon EMR 安全組態應在傳輸中加密](emr-controls.md#emr-4) 
+  [【ES.1】 Elasticsearch 網域應該啟用靜態加密](es-controls.md#es-1) 
+  [【ES.2】 不應公開存取 Elasticsearch 網域](es-controls.md#es-2) 
+  [【ES.3】 Elasticsearch 網域應該加密節點之間傳送的資料](es-controls.md#es-3) 
+  [【ES.4】 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤](es-controls.md#es-4) 
+  [【ES.5】 Elasticsearch 網域應該啟用稽核記錄](es-controls.md#es-5) 
+  [【ES.6】 Elasticsearch 網域應至少具有三個資料節點](es-controls.md#es-6) 
+  [【ES.7】 Elasticsearch 網域應該至少設定三個專用主節點](es-controls.md#es-7) 
+  [【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線](es-controls.md#es-8) 
+  [【EventBridge.3] EventBridge 自訂事件匯流排應連接以資源為基礎的政策](eventbridge-controls.md#eventbridge-3) 
+  [【EventBridge.4] EventBridge 全域端點應啟用事件複寫](eventbridge-controls.md#eventbridge-4) 
+  [【FSx.1] FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區](fsx-controls.md#fsx-1) 
+  [【FSx.2] FSx for Lustre 檔案系統應設定為將標籤複製到備份](fsx-controls.md#fsx-2) 
+  [【Glue.4】 AWS Glue Spark 任務應在支援的 版本上執行 AWS Glue](glue-controls.md#glue-4) 
+  [【GuardDuty.1] 應啟用 GuardDuty](guardduty-controls.md#guardduty-1) 
+  [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1) 
+  [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2) 
+  [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3) 
+  [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4) 
+  [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5) 
+  [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6) 
+  [【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7) 
+  [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8) 
+  [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9) 
+  [【IAM.19】 應為所有 IAM 使用者啟用 MFA](iam-controls.md#iam-19) 
+  [【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作](iam-controls.md#iam-21) 
+  [【Kinesis.1】 Kinesis 串流應靜態加密](kinesis-controls.md#kinesis-1) 
+  [【KMS.1】 IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作](kms-controls.md#kms-1) 
+  [【KMS.2】 IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策](kms-controls.md#kms-2) 
+  [【KMS.3】 AWS KMS keys 不應意外刪除](kms-controls.md#kms-3) 
+  [【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4) 
+  [【Lambda.1】 Lambda 函數政策應禁止公開存取](lambda-controls.md#lambda-1) 
+  [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) 
+  [【Lambda.3】 Lambda 函數應該位於 VPC 中](lambda-controls.md#lambda-3) 
+  [【Lambda.5】 VPC Lambda 函數應該在多個可用區域中操作](lambda-controls.md#lambda-5) 
+  [【Lambda.7】 Lambda 函數應該啟用 AWS X-Ray 主動追蹤](lambda-controls.md#lambda-7) 
+  [【Macie.1】 應啟用 Amazon Macie](macie-controls.md#macie-1) 
+  [【Macie.2】 應啟用 Macie 自動化敏感資料探索](macie-controls.md#macie-2) 
+  [【MSK.1】 MSK 叢集應在代理程式節點之間傳輸時加密](msk-controls.md#msk-1) 
+  [【MSK.2】 MSK 叢集應已設定增強型監控](msk-controls.md#msk-2) 
+  [【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch](mq-controls.md#mq-2) 
+  [【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級](mq-controls.md#mq-3) 
+  [【MQ.5】 ActiveMQ 代理程式應使用作用中/待命部署模式](mq-controls.md#mq-5) 
+  [【MQ.6】 RabbitMQ 代理程式應使用叢集部署模式](mq-controls.md#mq-6) 
+  [【Neptune.1】 Neptune 資料庫叢集應靜態加密](neptune-controls.md#neptune-1) 
+  [【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](neptune-controls.md#neptune-2) 
+  [【Neptune.3】 Neptune 資料庫叢集快照不應公開](neptune-controls.md#neptune-3) 
+  [【Neptune.4】 Neptune 資料庫叢集應啟用刪除保護](neptune-controls.md#neptune-4) 
+  [【Neptune.5】 Neptune 資料庫叢集應該啟用自動備份](neptune-controls.md#neptune-5) 
+  [【Neptune.6】 Neptune 資料庫叢集快照應靜態加密](neptune-controls.md#neptune-6) 
+  [【Neptune.7】 Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證](neptune-controls.md#neptune-7) 
+  [【Neptune.8】 Neptune 資料庫叢集應設定為將標籤複製到快照](neptune-controls.md#neptune-8) 
+  [【Neptune.9】 Neptune 資料庫叢集應部署在多個可用區域](neptune-controls.md#neptune-9) 
+  [【NetworkFirewall.1] 網路防火牆防火牆應部署在多個可用區域](networkfirewall-controls.md#networkfirewall-1) 
+  [【NetworkFirewall.2] 應啟用網路防火牆記錄](networkfirewall-controls.md#networkfirewall-2) 
+  [【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組](networkfirewall-controls.md#networkfirewall-3) 
+  [【NetworkFirewall.4] Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包](networkfirewall-controls.md#networkfirewall-4) 
+  [【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包](networkfirewall-controls.md#networkfirewall-5) 
+  [【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空](networkfirewall-controls.md#networkfirewall-6) 
+  [【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護](networkfirewall-controls.md#networkfirewall-9) 
+  [【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護](networkfirewall-controls.md#networkfirewall-10) 
+  [【Opensearch.1】 OpenSearch 網域應該啟用靜態加密](opensearch-controls.md#opensearch-1) 
+  [【Opensearch.2】 不應公開存取 OpenSearch 網域](opensearch-controls.md#opensearch-2) 
+  [【Opensearch.3】 OpenSearch 網域應該加密節點之間傳送的資料](opensearch-controls.md#opensearch-3) 
+  [【Opensearch.4】 應啟用 CloudWatch Logs 的 OpenSearch 網域錯誤記錄](opensearch-controls.md#opensearch-4) 
+  [【Opensearch.5】 OpenSearch 網域應該啟用稽核記錄](opensearch-controls.md#opensearch-5) 
+  [【Opensearch.6】 OpenSearch 網域應至少具有三個資料節點](opensearch-controls.md#opensearch-6) 
+  [【Opensearch.7】 OpenSearch 網域應啟用精細存取控制](opensearch-controls.md#opensearch-7) 
+  [【Opensearch.8】 應使用最新的 TLS 安全政策加密 OpenSearch 網域的連線](opensearch-controls.md#opensearch-8) 
+  [【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10) 
+  [【Opensearch.11】 OpenSearch 網域應至少具有三個專用主節點](opensearch-controls.md#opensearch-11) 
+  [【PCA.1】應停用 AWS 私有 CA 根憑證授權單位](pca-controls.md#pca-1) 
+  [【RDS.1】 RDS 快照應為私有](rds-controls.md#rds-1) 
+  [【RDS.2】 RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定](rds-controls.md#rds-2) 
+  [[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3) 
+  [【RDS.4】 RDS 叢集快照和資料庫快照應靜態加密](rds-controls.md#rds-4) 
+  [【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域](rds-controls.md#rds-5) 
+  [【RDS.6】 應為 RDS 資料庫執行個體設定增強型監控](rds-controls.md#rds-6) 
+  [【RDS.7】 RDS 叢集應該啟用刪除保護](rds-controls.md#rds-7) 
+  [【RDS.8】 RDS 資料庫執行個體應啟用刪除保護](rds-controls.md#rds-8) 
+  [【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-9)
+  [【RDS.10】 應為 RDS 執行個體設定 IAM 身分驗證](rds-controls.md#rds-10) 
+  [【RDS.11】 RDS 執行個體應該啟用自動備份](rds-controls.md#rds-11) 
+  [【RDS.12】 應為 RDS 叢集設定 IAM 身分驗證](rds-controls.md#rds-12) 
+  [【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13) 
+  [【RDS.14】 Amazon Aurora 叢集應該已啟用恢復](rds-controls.md#rds-14) 
+  [【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集](rds-controls.md#rds-15) 
+  [【RDS.16】 Aurora 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-16) 
+  [【RDS.17】 RDS 資料庫執行個體應設定為將標籤複製到快照](rds-controls.md#rds-17) 
+  [【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-19) 
+  [【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-20) 
+  [【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-21) 
+  [【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-22) 
+  [【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠](rds-controls.md#rds-23) 
+  [【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱](rds-controls.md#rds-24) 
+  [【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱](rds-controls.md#rds-25) 
+  [【RDS.26】 RDS 資料庫執行個體應受備份計劃保護](rds-controls.md#rds-26) 
+  [【RDS.27】 RDS 資料庫叢集應靜態加密](rds-controls.md#rds-27) 
+  [【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](rds-controls.md#rds-34) 
+  [【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級](rds-controls.md#rds-35) 
+  [【RDS.40】 RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-40) 
+  [【RDS.42】 RDS for MariaDB 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-42) 
+  [【RDS.45】 Aurora MySQL 資料庫叢集應該啟用稽核記錄](rds-controls.md#rds-45) 
+  [【Redshift.1】 Amazon Redshift 叢集應禁止公開存取](redshift-controls.md#redshift-1) 
+  [【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密](redshift-controls.md#redshift-2) 
+  [【Redshift.3】 Amazon Redshift 叢集應該啟用自動快照](redshift-controls.md#redshift-3) 
+  [【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄](redshift-controls.md#redshift-4) 
+  [【Redshift.6】 Amazon Redshift 應已啟用主要版本的自動升級](redshift-controls.md#redshift-6) 
+  [【Redshift.7】 Redshift 叢集應使用增強型 VPC 路由](redshift-controls.md#redshift-7) 
+  [【Redshift.8】 Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱](redshift-controls.md#redshift-8) 
+  [【Redshift.10】 應靜態加密 Redshift 叢集](redshift-controls.md#redshift-10) 
+  [【RedshiftServerless.4] Redshift Serverless 命名空間應使用客戶受管加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢](route53-controls.md#route53-2) 
+  [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1) 
+  [【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取](s3-controls.md#s3-2) 
+  [【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取](s3-controls.md#s3-3) 
+  [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5) 
+  [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6) 
+  [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7) 
+  [【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8) 
+  [【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9) 
+  [【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態](s3-controls.md#s3-10) 
+  [【S3.11】 S3 一般用途儲存貯體應啟用事件通知](s3-controls.md#s3-11) 
+  [【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取](s3-controls.md#s3-12) 
+  [【S3.13】 S3 一般用途儲存貯體應具有生命週期組態](s3-controls.md#s3-13) 
+  [【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制](s3-controls.md#s3-14) 
+  [【S3.15】 S3 一般用途儲存貯體應啟用物件鎖定](s3-controls.md#s3-15) 
+  [【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17) 
+  [【S3.19】 S3 存取點應啟用封鎖公開存取設定](s3-controls.md#s3-19) 
+  [【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20) 
+  [【SageMaker.1] Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取](sagemaker-controls.md#sagemaker-1) 
+  [【SageMaker.2] 應在自訂 VPC 中啟動 SageMaker 筆記本執行個體](sagemaker-controls.md#sagemaker-2) 
+  [【SageMaker.3] 使用者不應擁有 SageMaker 筆記本執行個體的根存取權](sagemaker-controls.md#sagemaker-3) 
+  [【SageMaker.4] SageMaker 端點生產變體的初始執行個體計數應大於 1](sagemaker-controls.md#sagemaker-4) 
+  [【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換](secretsmanager-controls.md#secretsmanager-1) 
+  [【SecretsManager.2] 設定自動輪換的 Secrets Manager 秘密應能成功輪換](secretsmanager-controls.md#secretsmanager-2) 
+  [【SecretsManager.3] 移除未使用的 Secrets Manager 秘密](secretsmanager-controls.md#secretsmanager-3) 
+  [【SecretsManager.4] Secrets Manager 秘密應在指定的天數內輪換](secretsmanager-controls.md#secretsmanager-4) 
+  [【ServiceCatalog.1] Service Catalog 產品組合只能在 AWS 組織內共用](servicecatalog-controls.md#servicecatalog-1) 
+  [【SNS.1】 SNS 主題應使用 進行靜態加密 AWS KMS](sns-controls.md#sns-1) 
+  [【SQS.1】 Amazon SQS 佇列應靜態加密](sqs-controls.md#sqs-1) 
+  [【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態](ssm-controls.md#ssm-2) 
+  [【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態](ssm-controls.md#ssm-3) 
+  [【SSM.4】 SSM 文件不應公開](ssm-controls.md#ssm-4) 
+  [【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線](transfer-controls.md#transfer-2) 
+  [【Transfer.3】 Transfer Family 連接器應該已啟用記錄](transfer-controls.md#transfer-3) 
+  [【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄](waf-controls.md#waf-1) 
+  [【WAF.2】 AWS WAF 傳統區域規則應至少有一個條件](waf-controls.md#waf-2) 
+  [【WAF.3】 AWS WAF 傳統區域規則群組應至少有一個規則](waf-controls.md#waf-3) 
+  [【WAF.4】 AWS WAF 傳統區域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-4) 
+  [【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件](waf-controls.md#waf-6) 
+  [【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則](waf-controls.md#waf-7) 
+  [【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-8) 
+  [【WAF.10】 AWS WAF Web ACLs應至少有一個規則或規則群組](waf-controls.md#waf-10) 
+  [【WAF.11】應該啟用 AWS WAF Web ACL 記錄](waf-controls.md#waf-11) 
+  [【WAF.12】 AWS WAF 規則應啟用 CloudWatch 指標](waf-controls.md#waf-12) 

# Security Hub CSPM 中的 NIST SP 800-171 修訂版 2
<a name="standards-reference-nist-800-171"></a>

NIST 特別出版物 800-171 修訂版 2 (NIST SP 800-171 修訂版 2) 是由國家標準技術研究所 (NIST) 所開發的網路安全和合規架構，該機構是美國商務部的一部分。此合規架構提供建議的安全要求，以保護不屬於美國聯邦政府的系統和組織中受控未分類資訊的機密性。*受控未分類資訊*也稱為 *CUI*，是不符合政府分類標準的敏感資訊，但必須受到保護。這是被視為敏感的資訊，由美國聯邦政府或代表美國聯邦政府的其他實體建立或擁有。

NIST SP 800-171 修訂版 2 在以下情況提供保護 CUI 機密性的建議安全要求：
+ 資訊位於非聯合系統和組織中，
+ 非聯合組織不會代表聯邦機構收集或維護資訊，也不會代表機構使用或操作系統，以及 
+ 對於 CUI 登錄檔中列出的 CUI 類別，對於授權法律、法規或全政府政策所規定的 CUI 機密性，沒有特定的保護要求。

這些要求適用於處理、存放或傳輸 CUI 或為元件提供安全保護的非聯合系統和組織的所有元件。如需詳細資訊，請參閱 [NIST 電腦安全資源中心的 NIST SP 800-171 修訂版 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)。 **

AWS Security Hub CSPM 提供安全控制，支援 NIST SP 800-171 修訂版 2 要求的子集。這些控制項會針對特定 AWS 服務 和 資源執行自動安全檢查。若要啟用和管理這些控制項，您可以在 Security Hub CSPM 中啟用 NIST SP 800-171 修訂版 2 架構作為標準。請注意，控制項不支援需要手動檢查的 NIST SP 800-171 修訂版 2 要求。

**Topics**
+ [設定 標準的資源記錄](#standards-reference-nist-800-171-recording)
+ [判斷哪些控制項適用於標準](#standards-reference-nist-800-171-controls)

## 設定適用於標準之控制項的資源記錄
<a name="standards-reference-nist-800-171-recording"></a>

若要最佳化問題清單的涵蓋範圍和準確性，請務必在 AWS Security Hub CSPM 中啟用 NIST SP 800-171 修訂版 2 標準 AWS Config 之前，先在 中啟用和設定資源記錄。當您設定資源記錄時，也請務必針對套用標準之控制項檢查的所有 AWS 資源類型啟用它。否則，Security Hub CSPM 可能無法評估適當的資源，並為適用於標準的控制項產生準確的調查結果。

如需 Security Hub CSPM 如何在 中使用資源錄製的資訊 AWS Config，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需有關在 中設定資源錄製的資訊 AWS Config，請參閱《 *AWS Config 開發人員指南*》中的[使用組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。

下表指定適用於 Security Hub CSPM 中 NIST SP 800-171 修訂版 2 標準的控制項要記錄的資源類型。


| AWS 服務 | 資源類型 | 
| --- | --- | 
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## 判斷哪些控制項適用於標準
<a name="standards-reference-nist-800-171-controls"></a>

以下清單指定支援 NIST SP 800-171 修訂版 2 要求的控制項，並適用於 AWS Security Hub CSPM 中的 NIST SP 800-171 修訂版 2 標準。如需控制項支援的特定需求詳細資訊，請選擇控制項。然後，請參閱控制項詳細資訊中的**相關需求**欄位。此欄位指定控制項支援的每個 NIST 需求。如果 欄位未指定特定的 NIST 需求，則控制項不支援該需求。
+ [【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約](acm-controls.md#acm-1)
+ [【APIGateway.2] API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證](apigateway-controls.md#apigateway-2)
+ [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7)
+ [【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)
+ [【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤](cloudtrail-controls.md#cloudtrail-3)
+ [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)
+ [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)
+ [【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-2)
+ [【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4)
+ [【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5)
+ [【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6)
+ [【CloudWatch.7] 確保日誌指標篩選條件和警示存在，以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7)
+ [【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8)
+ [【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9)
+ [【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10)
+ [【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11)
+ [【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12)
+ [【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13)
+ [【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14)
+ [【CloudWatch.15] CloudWatch 警示應已設定指定的動作](cloudwatch-controls.md#cloudwatch-15)
+ [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)
+ [【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點](ec2-controls.md#ec2-10)
+ [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22](ec2-controls.md#ec2-13)
+ [【EC2.16】 應該移除未使用的網路存取控制清單](ec2-controls.md#ec2-16)
+ [【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量](ec2-controls.md#ec2-18)
+ [【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](ec2-controls.md#ec2-19)
+ [【EC2.20】 用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動](ec2-controls.md#ec2-20)
+ [【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)
+ [【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄](ec2-controls.md#ec2-51)
+ [【ELB.2】 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager](elb-controls.md#elb-2)
+ [【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定](elb-controls.md#elb-3)
+ [【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應使用預先定義的安全政策，該政策具有強烈驅動](elb-controls.md#elb-8)
+ [【GuardDuty.1] 應啟用 GuardDuty](guardduty-controls.md#guardduty-1)
+ [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1)
+ [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
+ [【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7)
+ [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)
+ [【IAM.10】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-10)
+ [【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11)
+ [【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12)
+ [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13)
+ [【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14)
+ [【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)
+ [【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)
+ [【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)
+ [【IAM.19】 應為所有 IAM 使用者啟用 MFA](iam-controls.md#iam-19)
+ [【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作](iam-controls.md#iam-21)
+ [【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)
+ [【NetworkFirewall.2] 應啟用網路防火牆記錄](networkfirewall-controls.md#networkfirewall-2)
+ [【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組](networkfirewall-controls.md#networkfirewall-3)
+ [【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包](networkfirewall-controls.md#networkfirewall-5)
+ [【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空](networkfirewall-controls.md#networkfirewall-6)
+ [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)
+ [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6)
+ [【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9)
+ [【S3.11】 S3 一般用途儲存貯體應啟用事件通知](s3-controls.md#s3-11)
+ [【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制](s3-controls.md#s3-14)
+ [【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17)
+ [【SNS.1】 SNS 主題應使用 進行靜態加密 AWS KMS](sns-controls.md#sns-1)
+ [【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態](ssm-controls.md#ssm-2)
+ [【WAF.12】 AWS WAF 規則應啟用 CloudWatch 指標](waf-controls.md#waf-12)

# Security Hub CSPM 中的 PCI DSS
<a name="pci-standard"></a>

支付卡產業資料安全標準 (PCI DSS) 是第三方合規架構，提供一組規則和準則，以安全地處理信用卡和簽帳金融卡資訊。PCI 安全標準委員會 (SSC) 會建立和更新此架構。

AWS Security Hub CSPM 提供 PCI DSS 標準，可協助您遵循此第三方架構。您可以使用此標準來探索處理持卡人資料之 AWS 資源中的安全漏洞。建議您在具有儲存、處理或傳輸持卡人資料或敏感身分驗證資料之資源 AWS 帳戶 的 中啟用此標準。PCI SSC 的評估驗證了此標準。

Security Hub CSPM 支援 PCI DSS v3.2.1 和 PCI DSS v4.0.1。我們建議您使用 v4.0.1 來掌握最新的安全最佳實務。您可以同時啟用兩個版本的標準。如需啟用標準的資訊，請參閱 [啟用安全標準](enable-standards.md)。如果您目前使用 v3.2.1，但只想要使用 v4.0.1，請先啟用較新版本，再停用較舊版本。這可以防止安全檢查中的差距。如果您使用 Security Hub CSPM 整合與 ， AWS Organizations 並想要在多個帳戶中批次啟用 v4.0.1，我們建議您使用[中央組態](central-configuration-intro.md)來執行此操作。

下列各節指定哪些控制項適用於 PCI DSS v3.2.1 和 PCI DSS v4.0.1。

## 適用於 PCI DSS v3.2.1 的控制項
<a name="pci-controls"></a>

以下清單指定哪些 Security Hub CSPM 控制項適用於 PCI DSS v3.2.1。若要檢閱控制項的詳細資訊，請選擇控制項。

 [【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2) 

 [【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤](cloudtrail-controls.md#cloudtrail-3) 

 [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4) 

 [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5) 

 [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1) 

 [【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料](codebuild-controls.md#codebuild-1) 

 [【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料](codebuild-controls.md#codebuild-2) 

 [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) 

 [【DMS.1】 Database Migration Service 複寫執行個體不應為公有](dms-controls.md#dms-1) 

 [【EC2.1】 Amazon EBS 快照不應可公開還原](ec2-controls.md#ec2-1) 

 [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2) 

 [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6) 

 [【EC2.12】 應移除未使用的 Amazon EC2 EIPs](ec2-controls.md#ec2-12) 

 [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22](ec2-controls.md#ec2-13) 

 [【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS](elb-controls.md#elb-1) 

 [【ES.1】 Elasticsearch 網域應該啟用靜態加密](es-controls.md#es-1) 

 [【ES.2】 不應公開存取 Elasticsearch 網域](es-controls.md#es-2) 

 [【GuardDuty.1] 應啟用 GuardDuty](guardduty-controls.md#guardduty-1) 

 [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1) 

 [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2) 

 [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4) 

 [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6) 

 [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8) 

 [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9) 

 [【IAM.10】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-10) 

 [【IAM.19】 應為所有 IAM 使用者啟用 MFA](iam-controls.md#iam-19) 

 [【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4) 

 [【Lambda.1】 Lambda 函數政策應禁止公開存取](lambda-controls.md#lambda-1) 

 [【Lambda.3】 Lambda 函數應該位於 VPC 中](lambda-controls.md#lambda-3) 

 [【Opensearch.1】 OpenSearch 網域應該啟用靜態加密](opensearch-controls.md#opensearch-1) 

 [【Opensearch.2】 不應公開存取 OpenSearch 網域](opensearch-controls.md#opensearch-2) 

 [【RDS.1】 RDS 快照應為私有](rds-controls.md#rds-1) 

 [【RDS.2】 RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定](rds-controls.md#rds-2) 

 [【Redshift.1】 Amazon Redshift 叢集應禁止公開存取](redshift-controls.md#redshift-1) 

 [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1) 

 [【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取](s3-controls.md#s3-2) 

 [【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取](s3-controls.md#s3-3) 

 [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5) 

 [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7) 

 [【SageMaker.1] Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取](sagemaker-controls.md#sagemaker-1) 

 [【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager](ssm-controls.md#ssm-1) 

 [【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態](ssm-controls.md#ssm-2) 

 [【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態](ssm-controls.md#ssm-3) 

## 適用於 PCI DSS v4.0.1 的控制項
<a name="pci4-controls"></a>

以下清單指定哪些 Security Hub CSPM 控制項適用於 PCI DSS v4.0.1。若要檢閱控制項的詳細資訊，請選擇控制項。

[【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約](acm-controls.md#acm-1)

[【ACM.2】 由 ACM 管理的 RSA 憑證應使用至少 2，048 位元的金鑰長度](acm-controls.md#acm-2)

[【APIGateway.9] 應為 API Gateway V2 階段設定存取記錄](apigateway-controls.md#apigateway-9)

[【AppSync.2] AWS AppSync 應該啟用欄位層級記錄](appsync-controls.md#appsync-2)

[【AutoScaling.3] Auto Scaling 群組啟動組態應將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)](autoscaling-controls.md#autoscaling-3)

[【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址](autoscaling-controls.md#autoscaling-5)

[【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1)

[【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10)

[【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器](cloudfront-controls.md#cloudfront-12)

[【CloudFront.3] CloudFront 分佈應要求傳輸中加密](cloudfront-controls.md#cloudfront-3)

[【CloudFront.5] CloudFront 分佈應該已啟用記錄](cloudfront-controls.md#cloudfront-5)

[【CloudFront.6] CloudFront 分佈應該啟用 WAF](cloudfront-controls.md#cloudfront-6)

[【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)

[【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤](cloudtrail-controls.md#cloudtrail-3)

[【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)

[【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取](cloudtrail-controls.md#cloudtrail-6)

[【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7)

[【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料](codebuild-controls.md#codebuild-1)

[【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料](codebuild-controls.md#codebuild-2)

[【CodeBuild.3] CodeBuild S3 日誌應加密](codebuild-controls.md#codebuild-3)

[【DMS.1】 Database Migration Service 複寫執行個體不應為公有](dms-controls.md#dms-1)

[【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權](dms-controls.md#dms-10)

[【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制](dms-controls.md#dms-11)

[【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS](dms-controls.md#dms-12)

[【DMS.6】 DMS 複寫執行個體應啟用自動次要版本升級](dms-controls.md#dms-6)

[【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-7)

[【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-8)

[【DMS.9】 DMS 端點應使用 SSL](dms-controls.md#dms-9)

[【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期](documentdb-controls.md#documentdb-2)

[【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開](documentdb-controls.md#documentdb-3)

[【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs](documentdb-controls.md#documentdb-4)

[【DynamoDB.7] DynamoDB Accelerator 叢集應在傳輸中加密](dynamodb-controls.md#dynamodb-7)

[【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22](ec2-controls.md#ec2-13)

[【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389](ec2-controls.md#ec2-14)

[【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址](ec2-controls.md#ec2-15)

[【EC2.16】 應該移除未使用的網路存取控制清單](ec2-controls.md#ec2-16)

[【EC2.170】 EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-170)

[【EC2.171】 EC2 VPN 連線應該已啟用記錄](ec2-controls.md#ec2-171)

[【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)

[【EC2.25】 Amazon EC2 啟動範本不應將公IPs 指派給網路介面](ec2-controls.md#ec2-25)

[【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄](ec2-controls.md#ec2-51)

[【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-53)

[【EC2.54】 EC2 安全群組不應允許從 ：：/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-54)

[【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8)

[【ECR.1】 ECR 私有儲存庫應設定映像掃描](ecr-controls.md#ecr-1)

[【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行](ecs-controls.md#ecs-10)

[【ECS.16】 ECS 任務集不應自動指派公有 IP 地址](ecs-controls.md#ecs-16)

[【ECS.2】 ECS 服務不應自動為其指派公有 IP 地址](ecs-controls.md#ecs-2)

[【ECS.8】 不應將秘密做為容器環境變數傳遞](ecs-controls.md#ecs-8)

[【EFS.4】 EFS 存取點應強制執行使用者身分](efs-controls.md#efs-4)

[【EKS.1】 不應公開存取 EKS 叢集端點](eks-controls.md#eks-1)

[【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)

[【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密](eks-controls.md#eks-3)

[【EKS.8】 EKS 叢集應該啟用稽核記錄](eks-controls.md#eks-8)

[【ElastiCache.2] ElastiCache 叢集應該啟用自動次要版本升級](elasticache-controls.md#elasticache-2)

[【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密](elasticache-controls.md#elasticache-5)

[【ElastiCache.6] 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH](elasticache-controls.md#elasticache-6)

[【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[【ElasticBeanstalk.3] Elastic Beanstalk 應將日誌串流至 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-12)

[【ELB.14】 Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-14)

[【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定](elb-controls.md#elb-3)

[【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭](elb-controls.md#elb-4)

[【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應使用預先定義的安全政策，該政策具有強烈驅動](elb-controls.md#elb-8)

[【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址](emr-controls.md#emr-1)

[【EMR.2】 應啟用 Amazon EMR 封鎖公開存取設定](emr-controls.md#emr-2)

[【ES.2】 不應公開存取 Elasticsearch 網域](es-controls.md#es-2)

[【ES.3】 Elasticsearch 網域應該加密節點之間傳送的資料](es-controls.md#es-3)

[【ES.5】 Elasticsearch 網域應該啟用稽核記錄](es-controls.md#es-5)

[【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線](es-controls.md#es-8)

[【EventBridge.3] EventBridge 自訂事件匯流排應連接以資源為基礎的政策](eventbridge-controls.md#eventbridge-3)

[【GuardDuty.1] 應啟用 GuardDuty](guardduty-controls.md#guardduty-1)

[【GuardDuty.10] 應啟用 GuardDuty S3 保護](guardduty-controls.md#guardduty-10)

[【GuardDuty.6] 應啟用 GuardDuty Lambda 保護](guardduty-controls.md#guardduty-6)

[【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控](guardduty-controls.md#guardduty-7)

[【GuardDuty.9] 應啟用 GuardDuty RDS 保護](guardduty-controls.md#guardduty-9)

[【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)

[[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)

[[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)

[【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7)

[【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)

[【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)

[【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11)

[【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12)

[【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14)

[【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)

[【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17)

[【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)

[【IAM.19】 應為所有 IAM 使用者啟用 MFA](iam-controls.md#iam-19)

[【Inspector.1】 應啟用 Amazon Inspector EC2 掃描](inspector-controls.md#inspector-1)

[【Inspector.2】 應啟用 Amazon Inspector ECR 掃描](inspector-controls.md#inspector-2)

[【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描](inspector-controls.md#inspector-3)

[【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描](inspector-controls.md#inspector-4)

[【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)

[【Lambda.1】 Lambda 函數政策應禁止公開存取](lambda-controls.md#lambda-1)

[【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)

[【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch](mq-controls.md#mq-2)

[【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級](mq-controls.md#mq-3)

[【MSK.1】 MSK 叢集應在代理程式節點之間傳輸時加密](msk-controls.md#msk-1)

[【MSK.3】 MSK Connect 連接器應在傳輸中加密](msk-controls.md#msk-3)

[【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](neptune-controls.md#neptune-2)

[【Neptune.3】 Neptune 資料庫叢集快照不應公開](neptune-controls.md#neptune-3)

[【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10)

[【Opensearch.5】 OpenSearch 網域應該啟用稽核記錄](opensearch-controls.md#opensearch-5)

[【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13)

[【RDS.2】 RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定](rds-controls.md#rds-2)

[【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-20)

[【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-21)

[【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-22)

[【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱](rds-controls.md#rds-24)

[【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱](rds-controls.md#rds-25)

[【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](rds-controls.md#rds-34)

[【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級](rds-controls.md#rds-35)

[【RDS.36】 RDS for PostgreSQL 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-36)

[【RDS.37】 Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-37)

[【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-9)

[【Redshift.1】 Amazon Redshift 叢集應禁止公開存取](redshift-controls.md#redshift-1)

[【Redshift.15】 Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠](redshift-controls.md#redshift-15)

[【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密](redshift-controls.md#redshift-2)

[【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄](redshift-controls.md#redshift-4)

[【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢](route53-controls.md#route53-2)

[【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)

[【S3.15】 S3 一般用途儲存貯體應啟用物件鎖定](s3-controls.md#s3-15)

[【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17)

[【S3.19】 S3 存取點應啟用封鎖公開存取設定](s3-controls.md#s3-19)

[【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件](s3-controls.md#s3-22)

[【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件](s3-controls.md#s3-23)

[【S3.24】 S3 多區域存取點應啟用封鎖公開存取設定](s3-controls.md#s3-24)

[【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)

[【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)

[【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9)

[【SageMaker.1] Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取](sagemaker-controls.md#sagemaker-1)

[【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換](secretsmanager-controls.md#secretsmanager-1)

[【SecretsManager.2] 設定自動輪換的 Secrets Manager 秘密應能成功輪換](secretsmanager-controls.md#secretsmanager-2)

[【SecretsManager.4] Secrets Manager 秘密應在指定的天數內輪換](secretsmanager-controls.md#secretsmanager-4)

[【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態](ssm-controls.md#ssm-2)

[【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態](ssm-controls.md#ssm-3)

[【StepFunctions.1] Step Functions 狀態機器應該已開啟記錄](stepfunctions-controls.md#stepfunctions-1)

[【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線](transfer-controls.md#transfer-2)

[【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄](waf-controls.md#waf-1)

[【WAF.11】應該啟用 AWS WAF Web ACL 記錄](waf-controls.md#waf-11)

# Security Hub CSPM 中的服務受管標準
<a name="service-managed-standards"></a>

服務受管標準是另一個 AWS 服務 管理的安全標準，但您可以在 Security Hub CSPM 中檢視。例如，[服務受管標準： AWS Control Tower](service-managed-standard-aws-control-tower.md) 是 AWS Control Tower 管理的服務受管標準。服務受管標準與 AWS Security Hub CSPM 以下列方式管理的安全標準不同：
+ **標準建立和刪除** – 您可以使用管理服務的主控台或 API，或使用 建立和刪除服務受管標準 AWS CLI。在您以其中一種方式在管理服務中建立標準之前，該標準不會出現在 Security Hub CSPM 主控台中，且 Security Hub CSPM API 或 無法存取 AWS CLI。
+ **不自動啟用控制項** – 當您建立服務受管標準時，Security Hub CSPM 和管理服務不會自動啟用適用於標準的控制項。此外，當 Security Hub CSPM 發行標準的新控制項時，它們不會自動啟用。這是偏離 Security Hub CSPM 管理的標準。如需在 Security Hub CSPM 中設定控制項之一般方式的詳細資訊，請參閱 [了解 Security Hub CSPM 中的安全控制](controls-view-manage.md)。
+ **啟用和停用控制項** – 建議您在管理服務中啟用和停用控制項，以避免偏離。
+ **控制項的可用性** – 管理服務會選擇哪些控制項可作為服務受管標準的一部分。可用的控制項可能包含現有 Security Hub CSPM 控制項的全部或一部分。

管理服務建立服務受管標準並為其提供控制項後，您可以在 Security Hub CSPM 主控台、Security Hub CSPM API 或 中存取控制項問題清單、控制項狀態和標準安全分數 AWS CLI。管理服務中也可能提供部分或全部此資訊。

從下列清單中選擇服務受管標準，以檢視其詳細資訊。

**Topics**
+ [服務受管標準： AWS Control Tower](service-managed-standard-aws-control-tower.md)

# 服務受管標準： AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

本節提供有關服務受管標準的資訊： AWS Control Tower。

## 什麼是服務受管標準： AWS Control Tower？
<a name="aws-control-tower-standard-summary"></a>

服務受管標準： AWS Control Tower 是一種服務受管標準，可 AWS Control Tower 管理支援 Security Hub 控制項子集的 。此標準專為 AWS Security Hub CSPM 和 的使用者而設計 AWS Control Tower。它可讓您從 AWS Control Tower 服務設定 Security Hub CSPM 的偵測控制。

Detective 控制項可偵測 內資源的不合規 （例如設定錯誤） AWS 帳戶。

**提示**  
服務受管標準與 AWS Security Hub CSPM 管理的標準不同。例如，您必須在管理服務中建立和刪除服務受管標準。如需詳細資訊，請參閱[Security Hub CSPM 中的服務受管標準](service-managed-standards.md)。

當您透過 啟用 Security Hub CSPM 控制時 AWS Control Tower，如果尚未啟用，Control Tower 也會在這些特定帳戶和區域中為您啟用 Security Hub CSPM。在 Security Hub CSPM 主控台和 API 中，一旦啟用標準，您就可以檢視服務受管標準： AWS Control Tower 以及其他 Security Hub CSPM 標準 AWS Control Tower。

如需此標準的詳細資訊，請參閱*AWS Control Tower 《 使用者指南*》中的 [Security Hub CSPM 控制項](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)。

## 建立標準
<a name="aws-control-tower-standard-creation"></a>

只有在您從中啟用 Security Hub CSPM 控制項時，此標準才適用於 Security Hub CSPM AWS Control Tower。 AWS Control Tower 會在您第一次使用下列其中一種方法啟用適用的控制項時建立標準：
+ AWS Control Tower 主控台
+ AWS Control Tower API （呼叫 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html) API)
+ AWS CLI （執行 [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)命令）

當您透過 啟用 Security Hub CSPM 控制時 AWS Control Tower，如果您尚未啟用 Security Hub CSPM， AWS Control Tower 也會在這些特定帳戶和區域中為您啟用 Security Hub CSPM。

若要透過 Control Catalog 中的控制項 ID 來識別 Security Hub CSPM 控制項，您可以使用 `Implementation.Identifier`中的 欄位 AWS Control Tower。此欄位會映射至 Security Hub CSPM 控制項 ID，並可用於篩選特定控制項 ID。若要擷取 中特定 Security Hub CSPM 控制項 （例如 "CodeBuild.1") 的控制項中繼資料 AWS Control Tower，您可以使用 [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API：

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

您無法在 Security Hub CSPM 主控台、Security Hub CSPM API 中檢視或存取此標準， AWS CLI 或是在未先設定 AWS Control Tower 和啟用 Security Hub CSPM 控制項的情況下， AWS Control Tower 使用上述其中一種方法。

此標準僅適用於[AWS 區域AWS Control Tower 提供 的](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) 。

## 在標準中啟用和停用控制項
<a name="aws-control-tower-standard-managing-controls"></a>

在透過 啟用 Security Hub CSPM 控制項， AWS Control Tower 並建立服務受管標準： AWS Control Tower 標準之後，您可以在 Security Hub CSPM 中檢視標準及其可用的控制項。

當 Security Hub CSPM 將新控制項新增至服務受管標準： AWS Control Tower 標準時，不會為已啟用標準的客戶自動啟用這些控制項。您應該使用下列其中一種方法 AWS Control Tower ，從 啟用和停用標準的控制項：
+ AWS Control Tower 主控台
+ AWS Control Tower API （呼叫 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)和 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI （執行 [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)和 [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)命令）

當您在 中變更控制項的啟用狀態時 AWS Control Tower，變更也會反映在 Security Hub CSPM 中。

不過，在 Security Hub CSPM 中停用已啟用的控制項 AWS Control Tower 會導致控制偏離。中的控制項狀態 AWS Control Tower 會顯示為 `Drifted`。您可以使用 [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html) API 重設偏離中的控制項，或在 AWS Control Tower 主控台中選取[重新註冊 OU](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift)，或使用上述 AWS Control Tower 其中一種方法在 中停用並重新啟用控制項，以解決此偏離。

在 中完成啟用和停用動作 AWS Control Tower 可協助您避免控制偏離。

當您在 中啟用或停用控制項時 AWS Control Tower，動作會套用至受 管理的帳戶和區域 AWS Control Tower。如果您在 Security Hub CSPM 中啟用和停用控制項 （不建議用於此標準），則動作僅適用於目前的帳戶和區域。

**注意**  
[中央組態](central-configuration-intro.md)無法用於管理服務受管標準： AWS Control Tower。*您只能*使用 AWS Control Tower 服務來啟用和停用此標準中的控制項。

## 檢視啟用狀態和控制狀態
<a name="aws-control-tower-standard-control-status"></a>

您可以使用下列其中一種方法來檢視控制項的啟用狀態：
+ Security Hub CSPM 主控台、Security Hub CSPM API 或 AWS CLI
+ AWS Control Tower 主控台
+ AWS Control Tower 用於查看已啟用控制項清單的 API （呼叫 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html) API)
+ AWS CLI 查看已啟用控制項的清單 （執行 [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)命令）

您在 中停用的控制項在 Security Hub CSPM `Disabled`中 AWS Control Tower 具有 的啟用狀態，除非您在 Security Hub CSPM 中明確啟用該控制項。

Security Hub CSPM 會根據控制調查結果的工作流程狀態和合規狀態來計算控制狀態。如需啟用狀態和控制狀態的詳細資訊，請參閱 [檢閱 Security Hub CSPM 中控制項的詳細資訊](securityhub-standards-control-details.md)。

Security Hub CSPM 會根據控制狀態計算服務受管標準[的安全分數](standards-security-score.md)： AWS Control Tower。此分數僅適用於 Security Hub CSPM。此外，您只能在 Security Hub CSPM 中檢視[控制項問題清單](controls-findings-create-update.md)。標準安全分數和控制調查結果無法在 中使用 AWS Control Tower。

**注意**  
當您啟用 Service-Managed Standard： 的控制項時 AWS Control Tower，Security Hub CSPM 最多可能需要 18 小時才能產生使用現有 AWS Config 服務連結規則之控制項的調查結果。如果您已在 Security Hub CSPM 中啟用其他標準和控制項，則可能會有現有的服務連結規則。如需詳細資訊，請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。

## 刪除標準
<a name="aws-control-tower-standard-deletion"></a>

您可以使用下列其中一種方法停用所有適用的控制項 AWS Control Tower ，在 中刪除此服務受管標準：
+ AWS Control Tower 主控台
+ AWS Control Tower API （呼叫 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) API)
+ AWS CLI （執行 [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)命令）

停用所有控制項會刪除其中所有受管帳戶和受管區域中的標準 AWS Control Tower。刪除 中的標準會將其從 Security Hub CSPM 主控台**的標準**頁面 AWS Control Tower 中移除，而且您無法再使用 Security Hub CSPM API 或 存取它 AWS CLI。

**注意**  
 從 Security Hub CSPM 中的標準停用所有控制項並不會停用或刪除標準。

停用 Security Hub CSPM 服務會移除服務受管標準： AWS Control Tower 以及您啟用的任何其他標準。

## 尋找服務受管標準的欄位格式： AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

當您建立服務受管標準： AWS Control Tower 並為其啟用控制項時，您會開始在 Security Hub CSPM 中接收控制項問題清單。Security Hub CSPM 會在 中報告控制問題清單[AWS 安全調查結果格式 (ASFF)](securityhub-findings-format.md)。這些是此標準 Amazon Resource Name (ARN) 和 的 ASFF 值`GeneratorId`：
+ **標準 ARN** – `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

如需 Service-Managed Standard： 的範例調查結果 AWS Control Tower，請參閱 [控制問題清單的範例](sample-control-findings.md)。

## 適用於服務受管標準的控制項： AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

服務受管標準： AWS Control Tower 支援屬於 AWS 基礎安全最佳實務 (FSBP) 標準一部分的控制項子集。選擇控制項以檢視相關資訊，包括失敗問題清單的修復步驟。

若要查看 支援哪些 Security Hub CSPM 控制項 AWS Control Tower，您可以使用下列其中一種方法：
+ AWS 控制目錄主控台，您可以在其中篩選 `“Control owner = AWS Security Hub”`
+ AWS Control Catalog API （呼叫 [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API) 搭配篩選條件`Implementations`來檢查 `Types`是 `AWS::SecurityHub::SecurityControl`
+ AWS CLI （執行 [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)命令） 搭配 的篩選條件`Implementations`。CLI 命令範例：

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

透過 Control Tower 標準啟用時，Security Hub CSPM 控制項的區域限制可能不符合基礎控制項的區域限制。

在 Security Hub CSPM 中，如果您的帳戶中關閉[合併控制調查結果](controls-findings-create-update.md#consolidated-control-findings)，則產生的調查結果中的 `ProductFields.ControlId` 欄位會使用標準型控制 ID。標準型控制 ID 的格式為 **CT.*ControlId*** （例如 **CT.CodeBuild.1)。**

如需此標準的詳細資訊，請參閱*AWS Control Tower 《 使用者指南*》中的 [Security Hub CSPM 控制項](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)。

# 啟用安全標準
<a name="enable-standards"></a>

當您在 AWS Security Hub CSPM 中啟用安全標準時，Security Hub CSPM 會自動建立並啟用適用於該標準的所有控制項。Security Hub CSPM 也會開始執行安全檢查並產生控制項的問題清單。

若要最佳化問題清單的涵蓋範圍和準確性，請先在 中啟用和設定資源記錄， AWS Config 再啟用標準。當您設定資源記錄時，也請務必針對套用標準之控制項檢查的所有資源類型啟用它。否則，Security Hub CSPM 可能無法評估適當的資源，並為適用於標準的控制項產生準確的調查結果。如需詳細資訊，請參閱[啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。

啟用標準之後，您可以停用 或稍後重新啟用適用於標準的個別控制項。如果您停用標準控制項，Security Hub CSPM 會停止產生控制項的問題清單。此外，Security Hub CSPM 會在計算標準的安全分數時忽略控制項。安全性分數是通過評估的控制項百分比，相對於適用於標準、已啟用且具有評估資料的控制項總數。

當您啟用標準時，Security Hub CSPM 會產生該標準的初步安全分數，通常在您第一次造訪 Security Hub CSPM 主控台上的**摘要**或**安全標準**頁面的 30 分鐘內。只有在您造訪 主控台上的這些頁面時，才會針對啟用的標準產生安全分數。此外，必須在 中設定資源記錄，才能顯示 AWS Config 分數。在中國區域和 中 AWS GovCloud (US) Regions，Security Hub CSPM 最多可能需要 24 小時才能產生標準的初步安全分數。Security Hub CSPM 產生初步分數後，它會每 24 小時更新一次分數。若要判斷上次更新安全分數的時間，您可以參考 Security Hub CSPM 為分數提供的時間戳記。如需詳細資訊，請參閱[計算安全分數](standards-security-score.md)。

啟用標準的方式取決於您是否使用[中央組態](central-configuration-intro.md)來管理多個 帳戶和 的 Security Hub CSPM AWS 區域。如果您想要在多帳戶、多區域環境中啟用標準，建議您使用中央組態。如果您將 Security Hub CSPM 與 整合，則可以使用中央組態 AWS Organizations。如果您不使用中央組態，則必須在每個帳戶和每個區域中分別啟用每個標準。

**Topics**
+ [在多個帳戶和 中啟用標準 AWS 區域](#enable-standards-central-configuration)
+ [在單一帳戶和 中啟用標準 AWS 區域](#securityhub-standard-enable-console)
+ [檢查標準的狀態](#standard-subscription-status)

## 在多個帳戶和 中啟用標準 AWS 區域
<a name="enable-standards-central-configuration"></a>

若要跨多個帳戶啟用和設定安全標準 AWS 區域，請使用[中央組態](central-configuration-intro.md)。透過中央組態，委派的 Security Hub CSPM 管理員可以建立啟用一或多個標準的 Security Hub CSPM 組態政策。然後，管理員可以將組態政策與個別帳戶、組織單位 (OUs) 或根帳戶建立關聯。組態政策會影響主要區域，也稱為*彙總區域*和所有連結的區域。

組態政策提供自訂選項。例如，您可以選擇只為一個 OU 啟用 AWS 基礎安全最佳實務 (FSBP) 標準。對於另一個 OU，您可以選擇同時啟用 FSBP 標準和 Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 標準。如需建立啟用您指定之特定標準的組態政策的詳細資訊，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

如果您使用中央組態，Security Hub CSPM 不會自動在新的或現有的帳戶中啟用任何標準。相反地，Security Hub CSPM 管理員會指定在為其組織建立 Security Hub CSPM 組態政策時，在不同帳戶中啟用哪些標準。Security Hub CSPM 提供建議的組態政策，其中僅啟用 FSBP 標準。如需詳細資訊，請參閱[組態政策的類型](configuration-policies-overview.md#policy-types)。

**注意**  
Security Hub CSPM 管理員可以使用組態政策來啟用[AWS Control Tower 服務受管標準以外的任何標準](service-managed-standard-aws-control-tower.md)。若要啟用此標準，管理員必須 AWS Control Tower 直接使用 。他們還必須使用 AWS Control Tower 來啟用或停用集中管理帳戶在此標準中的個別控制項。

如果您希望某些帳戶為其自己的帳戶啟用和設定標準，Security Hub CSPM 管理員可以將這些帳戶指定為*自我管理帳戶*。自我管理帳戶必須在每個區域中分別啟用和設定標準。

## 在單一帳戶和 中啟用標準 AWS 區域
<a name="securityhub-standard-enable-console"></a>

如果您不使用中央組態或擁有自我管理帳戶，則無法使用組態政策在多個帳戶或 中集中啟用安全標準 AWS 區域。不過，您可以在單一帳戶和區域中啟用標準。您可以使用 Security Hub CSPM 主控台或 Security Hub CSPM API 來執行此操作。

------
#### [ Security Hub CSPM console ]

請依照下列步驟，使用 Security Hub CSPM 主控台啟用一個帳戶和區域中的標準。

**在一個帳戶和區域中啟用標準**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要啟用標準的區域。

1. 在導覽窗格中，選擇**安全標準**。**安全標準**頁面列出 Security Hub CSPM 目前支援的所有標準。如果您已啟用標準，則標準的 區段會包含目前的安全分數和標準的其他詳細資訊。

1. 在您要啟用的標準區段中，選擇**啟用標準**。

若要在其他區域中啟用標準，請在每個其他區域中重複上述步驟。

------
#### [ Security Hub CSPM API ]

若要在單一帳戶和區域中以程式設計方式啟用標準，請使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html)操作。或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)命令。

在您的請求中，使用 `StandardsArn` 參數來指定您要啟用之標準的 Amazon Resource Name (ARN)。同時指定您的請求套用的區域。例如，下列命令會啟用 AWS 基礎安全最佳實務 (FSBP) 標準：

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

其中 *arn：aws：securityhub：*us-east-1：：standards/aws-foundational-security-best-practices/v/1.0.0** 是美國東部 （維吉尼亞北部） 區域中 FSBP 標準的 ARN，而 *us-east-1* 是要在其中啟用它的區域。

若要取得標準的 ARN，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)操作，或者，如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)命令。

若要先檢閱目前在帳戶中啟用的標準清單，您可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)操作。如果您使用的是 AWS CLI，您可以執行 [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) 命令來擷取此清單。

------

啟用標準之後，Security Hub CSPM 會開始執行任務，以在帳戶和指定的區域中啟用標準。這包括建立適用於標準的所有控制項。若要監控這些任務的狀態，您可以檢查帳戶和區域的標準狀態。

## 檢查標準的狀態
<a name="standard-subscription-status"></a>

當您為帳戶啟用安全標準時，Security Hub CSPM 會開始建立適用於帳戶中標準的所有控制項。Security Hub CSPM 也會執行其他任務，以啟用帳戶的標準，例如產生標準的初步安全分數。當 Security Hub CSPM 執行這些任務時，標準的狀態*Pending*適用於帳戶。然後，標準的狀態會通過其他狀態，您可以監控和檢查這些狀態。

**注意**  
標準個別控制項的變更不會影響標準的整體狀態。例如，如果您啟用先前停用的控制項，您的變更不會影響標準的狀態。同樣地，如果您變更已啟用控制項的參數值，您的變更不會影響標準的狀態。

若要使用 Security Hub CSPM 主控台檢查標準的狀態，請在導覽窗格中選擇**安全標準**。**安全標準**頁面列出 Security Hub CSPM 目前支援的所有標準。如果 Security Hub CSPM 目前正在執行啟用標準的任務，則標準的 區段表示 Security Hub CSPM 仍在產生標準的安全分數。如果啟用標準，則標準的 區段會包含目前的分數。選擇**檢視結果**以檢閱其他詳細資訊，包括適用於標準之個別控制項的狀態。如需詳細資訊，請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。

若要使用 Security Hub CSPM API 以程式設計方式檢查標準的狀態，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)操作。在您的請求中，選擇性地使用 `StandardsSubscriptionArns` 參數來指定您要檢查其狀態的標準 Amazon Resource Name (ARN)。如果您使用的是 AWS Command Line Interface (AWS CLI)，您可以執行 [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) 命令來檢查標準的狀態。若要指定要檢查的標準 ARN，請使用 `standards-subscription-arns` 參數。若要決定要指定的 ARN，您可以使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)操作，或針對 AWS CLI執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)命令。

如果您的請求成功，Security Hub CSPM 會以 物件陣列回應`StandardsSubscription`。*標準訂閱*是 Security Hub CSPM 為帳戶啟用標準時，在帳戶中建立 AWS 的資源。每個`StandardsSubscription`物件都會提供有關帳戶目前已啟用或正在啟用或停用之標準的詳細資訊。在每個物件中， `StandardsStatus` 欄位會指定帳戶的 標準目前狀態。

標準 (`StandardsStatus`) 的狀態可以是下列其中一項。

**PENDING**  
Security Hub CSPM 目前正在執行任務，以啟用帳戶的 標準。這包括建立適用於標準的控制項，並為標準產生初步安全分數。Security Hub CSPM 可能需要幾分鐘的時間來完成所有任務。如果已為帳戶啟用標準，且 Security Hub CSPM 目前正在將新控制項新增至標準，則標準也可以具有此狀態。  
如果標準具有此狀態，您可能無法擷取適用於標準之個別控制項的詳細資訊。此外，您可能無法設定或停用標準的個別控制項。例如，如果您嘗試使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)操作停用控制項，則會發生錯誤。  
若要判斷您是否可以設定或以其他方式管理 標準的個別控制項，請參閱 `StandardsControlsUpdatable` 欄位的值。如果此欄位的值為 `READY_FOR_UPDATES`，您可以開始管理標準的個別控制項。否則，請等待 Security Hub CSPM 完成其他處理任務以啟用標準。

**READY**  
帳戶目前已啟用標準。Security Hub CSPM 可以執行安全檢查，並針對適用於標準且目前啟用的所有控制項產生調查結果。Security Hub CSPM 也可以計算標準的安全分數。  
如果標準具有此狀態，您可以擷取適用於標準之個別控制項的詳細資訊。此外，您可以設定、停用或重新啟用控制項。您也可以停用標準。

**INCOMPLETE**  
Security Hub CSPM 無法完全為帳戶啟用標準。Security Hub CSPM 無法執行安全檢查，並針對適用於標準且目前已啟用的所有控制項產生調查結果。此外，Security Hub CSPM 無法計算標準的安全分數。  
若要判斷未完全啟用標準的原因，請參閱 `StandardsStatusReason`陣列中的資訊。此陣列會指定導致 Security Hub CSPM 無法啟用標準的問題。如果發生內部錯誤，請嘗試再次為帳戶啟用 標準。對於其他類型的問題，[請檢查您的 AWS Config 設定](securityhub-setup-prereqs.md)。您也可以[停用您不想檢查的個別控制項](disable-controls-overview.md)，或完全停用標準。

**DELETING**  
Security Hub CSPM 目前正在處理停用帳戶標準的請求。這包括停用適用於標準的控制項，以及移除相關聯的安全分數。Security Hub CSPM 可能需要幾分鐘的時間才能完成處理請求。  
如果標準具有此狀態，則您無法重新啟用標準，或嘗試再次為帳戶停用該標準。Security Hub CSPM 必須先完成處理目前的請求。此外，您無法擷取適用於標準或管理控制項之個別控制項的詳細資訊。

**FAILED**  
Security Hub CSPM 無法停用帳戶的 標準。當 Security Hub CSPM 嘗試停用標準時發生一或多個錯誤。此外，Security Hub CSPM 無法計算標準的安全分數。  
若要判斷未完全停用標準的原因，請參閱`StandardsStatusReason`陣列中的資訊。此陣列會指定防止 Security Hub CSPM 停用標準的問題。  
如果標準具有此狀態，則您無法擷取適用於標準或管理控制項之個別控制項的詳細資訊。不過，您可以重新啟用帳戶的 標準。如果您解決導致 Security Hub CSPM 無法停用標準的問題，您也可以嘗試再次停用標準。

如果標準的狀態為 `READY`，Security Hub CSPM 會執行安全檢查，並針對適用於標準且目前啟用的所有控制項產生問題清單。對於其他狀態，Security Hub CSPM 可能會執行檢查，並產生某些但並非所有已啟用控制項的問題清單。最多可能需要 24 小時才能產生或更新控制調查結果。如需詳細資訊，請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。

# 檢閱安全標準的詳細資訊
<a name="securityhub-standards-view-controls"></a>

在 AWS Security Hub CSPM 中啟用安全標準之後，您可以使用 主控台來檢閱標準的詳細資訊。在 主控台上，標準的詳細資訊頁面包含下列資訊：
+ 標準目前的安全分數。
+ 適用於標準的控制表。
+ 適用於標準之控制項的彙總統計資料。
+ 適用於標準之控制項狀態的視覺化摘要。
+ 已啟用並套用到標準之控制項的安全檢查視覺化摘要。如果您與 整合 AWS Organizations，在至少一個組織帳戶中啟用的控制項會被視為已啟用。

若要檢閱這些詳細資訊，請在主控台的導覽窗格中選擇**安全標準**。然後，在標準 的 區段中，選擇**檢視結果**。若要進行更深入的分析，您可以篩選和排序資料，並向下切入以檢閱適用於標準之個別控制項的詳細資訊。

**Topics**
+ [了解標準安全分數](#standard-details-overview)
+ [檢閱標準的控制項](#standard-controls-list)

## 了解標準安全分數
<a name="standard-details-overview"></a>

在 AWS Security Hub CSPM 主控台上，標準的詳細資訊頁面會顯示標準的安全分數。分數是通過評估的控制項百分比，相對於適用於標準、已啟用且具有評估資料的控制項總數。在分數下是一個圖表，摘要針對針對標準啟用的控制項進行安全檢查。這包括通過和失敗的安全檢查數量。對於管理員帳戶，標準分數和圖表會跨管理員帳戶和所有成員帳戶彙總。若要檢閱具有特定嚴重性之控制項的失敗安全檢查，請選擇嚴重性。

當您啟用標準時，Security Hub CSPM 會產生該標準的初步安全分數，通常在您第一次造訪**摘要**頁面或 Security Hub CSPM 主控台上的**安全標準**頁面後 30 分鐘內。只會針對您造訪這些頁面時啟用的標準產生分數。此外，必須設定 AWS Config 資源記錄，才能顯示分數。在中國區域和 中 AWS GovCloud (US) Regions，Security Hub CSPM 最多可能需要 24 小時才能產生初步分數。Security Hub CSPM 為標準產生初步分數後，它會每 24 小時更新一次分數。如需詳細資訊，請參閱[計算安全分數](standards-security-score.md)。

除非您設定彙總區域， AWS 區域 否則**安全標準**詳細資訊頁面上的所有資料都專屬於目前的 。如果您設定彙總區域，安全分數會跨區域套用，並包含所有連結區域的調查結果。此外，控制項的合規狀態會反映連結區域的調查結果，而安全檢查的數量包括連結區域的調查結果。

## 檢閱標準的控制項
<a name="standard-controls-list"></a>

當您使用 AWS Security Hub CSPM 主控台檢閱您啟用之標準的詳細資訊時，您可以檢閱適用於標準的安全控制表。對於每個控制項，資料表包含下列資訊：
+ 控制項 ID 和標題。
+ 控制項的狀態。如需詳細資訊，請參閱[評估合規狀態和控制狀態](controls-overall-status.md)。
+ 指派給控制項的嚴重性。
+ 失敗的檢查數量和檢查總數。如果適用，**失敗檢查**欄位也會指定狀態為**未知**的調查結果數量。
+ 控制項是否支援自訂參數。如需詳細資訊，請參閱[了解 Security Hub CSPM 中的控制參數](custom-control-parameters.md)。

Security Hub CSPM 每 24 小時更新一次控制狀態和安全檢查計數。頁面頂端的時間戳記指出 Security Hub CSPM 最近更新此資料的時間。

對於管理員帳戶，控制項狀態和安全檢查數量會在管理員帳戶和所有成員帳戶中彙總。已啟用控制項的計數包含針對管理員帳戶或至少一個成員帳戶中的標準啟用的控制項。停用控制項的計數包括針對管理員帳戶和所有成員帳戶中的標準停用的控制項。

您可以篩選適用於標準的控制項資料表。使用資料表旁的**依選項篩選**，您可以選擇僅檢視已啟用或已停用的標準控制項。如果您只顯示已啟用的控制項，您可以進一步依控制項狀態篩選資料表。然後，您可以專注於具有特定控制狀態的控制項。除了**依選項篩選**之外，您可以在篩選**控制項**方塊中輸入篩選條件條件。例如，您可以依控制項 ID 或標題進行篩選。

選擇您偏好的存取方法。然後，依照步驟檢閱適用於您啟用之標準的控制項。

------
#### [ Security Hub CSPM console ]

**檢閱已啟用標準的控制項**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中選擇**安全標準**。

1. 在標準區段中，選擇**檢視結果**。

頁面底部的資料表會列出適用於標準的所有控制項。您可以篩選和排序資料表。您也可以將資料表的目前頁面下載為 CSV 檔案。若要這樣做，請選擇資料表上方的**下載**。如果您篩選資料表，下載的檔案只會包含符合您目前篩選條件設定的控制項。

------
#### [ Security Hub CSPM API ]

**檢閱已啟用標準的控制項**

1. 使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)的操作。如果您使用的是 AWS CLI，請執行 [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html) 命令。

   指定您要檢閱控制項之標準的 Amazon Resource Name (ARN)。若要取得標準的 ARNs，請使用 [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) 操作或執行 [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) 命令。如果您未指定標準 ARN，Security Hub CSPM 會傳回所有安全控制 IDs。

1. 使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)的操作，或執行 [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。此操作會告訴您在哪些標準中啟用了控制項。

   透過提供安全控制 ID 或 ARN 來識別控制項。分頁參數是選用的。

下列範例說明 Config.1 控制項在哪些標準中啟用。

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# 關閉自動啟用的安全標準
<a name="securityhub-auto-enabled-standards"></a>

如果您的組織不使用中央組態，則會使用稱為*本機*組態的組態類型。使用本機組態， AWS Security Hub CSPM 可以在帳戶加入您的組織時自動為新成員帳戶啟用預設安全標準。套用至這些預設標準的所有控制項也會自動啟用。

目前，預設安全標準是 AWS 基礎安全最佳實務標準和網際網路安全中心 (CIS) AWS 基準 1.2.0 版標準。如需這些標準的資訊，請參閱 [Security Hub CSPM 的標準參考](standards-reference.md)。

如果您偏好手動啟用新成員帳戶的安全標準，您可以關閉預設標準的自動啟用。只有在與 整合 AWS Organizations 並使用本機組態時，才能執行此操作。如果您使用中央組態，您可以改為建立啟用預設標準的組態政策，並將政策與根建立關聯。然後，所有組織帳戶和 OUs都會繼承此組態政策，除非它們與不同的政策相關聯或自我管理。如果您未與 整合 AWS Organizations，您可以在最初啟用 Security Hub CSPM 或更新版本時停用預設標準。若要了解作法，請參閱[停用標準](disable-standards.md)。

若要關閉新成員帳戶預設標準的自動啟用，您可以使用 Security Hub CSPM 主控台或 Security Hub CSPM API。

------
#### [ Security Hub CSPM console ]

請依照下列步驟，使用 Security Hub CSPM 主控台關閉預設標準的自動啟用。

**關閉預設標準的自動啟用**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

   使用管理員帳戶的登入資料登入。

1. 在導覽窗格中的設定下****，選擇**組態**。

1. 在**概觀**區段中，選擇**編輯**。

1. 在**新帳戶設定**下，清除**啟用預設安全標準**核取方塊。

1. 選擇**確認**。

------
#### [ Security Hub CSPM API ]

若要以程式設計方式關閉預設標準的自動啟用，請從 Security Hub CSPM 管理員帳戶使用 Security Hub CSPM API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)的操作。在您的請求中，`NONE`為 `AutoEnableStandards` 參數指定 。

如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)命令來關閉預設標準的自動啟用。針對 `auto-enable-standards` 參數，請指定 `NONE`。例如，下列命令會自動為新成員帳戶啟用 Security Hub CSPM，並關閉帳戶預設標準的自動啟用。

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# 停用安全標準
<a name="disable-standards"></a>

當您在 AWS Security Hub CSPM 中停用安全標準時，會發生下列情況：
+ 套用至標準的所有控制項都會停用，除非它們與目前啟用的另一個標準相關聯。
+ 不再執行已停用控制項的安全檢查，也不會為已停用的控制項產生其他問題清單。
+ 停用控制項的現有問題清單會在大約 3-5 天後自動封存。
+ AWS Config 刪除 Security Hub CSPM 為已停用控制項建立的規則。

刪除適當的 AWS Config 規則通常會在停用標準的幾分鐘內發生。不過，這可能需要更長的時間。如果第一個請求無法刪除規則，Security Hub CSPM 會每 12 小時重試一次。不過，如果您停用 Security Hub CSPM 或未啟用任何其他標準，Security Hub CSPM 將無法重試，這表示它無法刪除規則。如果發生這種情況，而且您需要刪除規則，請聯絡 AWS 支援。

**Topics**
+ [在多個帳戶和 中停用標準 AWS 區域](#disable-standards-central-configuration)
+ [在單一帳戶和 中停用標準 AWS 區域](#securityhub-standard-disable-console)

## 在多個帳戶和 中停用標準 AWS 區域
<a name="disable-standards-central-configuration"></a>

若要停用多個帳戶和 之間的安全標準 AWS 區域，請使用[中央組態](central-configuration-intro.md)。透過中央組態，委派的 Security Hub CSPM 管理員可以建立停用一或多個標準的 Security Hub CSPM 組態政策。然後，管理員可以將組態政策與個別帳戶、組織單位 (OUs) 或根帳戶建立關聯。組態政策會影響主要區域，也稱為*彙總區域*和所有連結的區域。

組態政策提供自訂選項。例如，您可以選擇在一個 OU 中停用支付卡產業資料安全標準 (PCI DSS)。對於另一個 OU，您可以選擇停用 PCI DSS 和國家標準技術研究所 (NIST) SP 800-53 修訂版 5 標準。如需有關建立啟用或停用您指定之個別標準的組態政策的資訊，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

**注意**  
Security Hub CSPM 管理員可以使用組態政策來停用[AWS Control Tower 服務受管標準以外的任何標準](service-managed-standard-aws-control-tower.md)。若要停用此標準，管理員必須 AWS Control Tower 直接使用 。他們還必須使用 AWS Control Tower 來停用或啟用集中管理帳戶在此標準中的個別控制項。

如果您希望某些帳戶為自己的帳戶設定或停用標準，Security Hub CSPM 管理員可以將這些帳戶指定為*自我管理帳戶*。自我管理帳戶必須在每個區域中分別停用標準。

## 在單一帳戶和 中停用標準 AWS 區域
<a name="securityhub-standard-disable-console"></a>

如果您不使用中央組態或擁有自我管理帳戶，則無法使用組態政策來集中停用多個帳戶或 中的安全標準 AWS 區域。不過，您可以在單一帳戶和區域中停用標準。您可以使用 Security Hub CSPM 主控台或 Security Hub CSPM API 來執行此操作。

------
#### [ Security Hub CSPM console ]

請依照下列步驟，使用 Security Hub CSPM 主控台停用一個帳戶和區域中的標準。

**停用一個帳戶和區域中的標準**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要停用標準的區域。

1. 在導覽窗格中，選擇**安全標準**。

1. 在您要停用的標準區段中，選擇**停用標準**。

若要在其他區域中停用標準，請在每個其他區域中重複上述步驟。

------
#### [ Security Hub CSPM API ]

若要在單一帳戶和區域中以程式設計方式停用標準，請使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html)操作。或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)命令。

在您的請求中，使用 `StandardsSubscriptionArns` 參數來指定您要停用之標準的 Amazon Resource Name (ARN)。如果您使用的是 AWS CLI，請使用 `standards-subscription-arns` 參數來指定 ARN。同時指定您的請求套用的區域。例如，下列命令會停用 帳戶 (*123456789012*) AWS 的基礎安全最佳實務 (FSBP) 標準：

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

其中 *arn：aws：securityhub：us-east-1：123456789012：subscription/aws-foundational-security-best-practices/v/1.0.0* 是美國東部 （維吉尼亞北部） 區域中帳戶的 FSBP 標準的 ARN，而 *us-east-1* 是要在其中停用它的區域。

若要取得標準的 ARN，您可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)操作。此操作會擷取目前在您帳戶中啟用之標準的相關資訊。如果您使用的是 AWS CLI，您可以執行 [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) 命令來擷取此資訊。

------

停用標準之後，Security Hub CSPM 會開始執行任務，以停用帳戶和指定區域中的標準。這包括停用適用於標準的所有控制項。若要監控這些任務的狀態，您可以[檢查帳戶和區域的標準狀態](enable-standards.md#standard-subscription-status)。