Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# NIST SP 800-53 Revision 5 im Security Hub CSPM
Die NIST-Sonderveröffentlichung 800-53 Revision 5 (NIST SP 800-53 Rev. 5) ist ein Framework für Cybersicherheit und Compliance, das vom National Institute of Standards and Technology (NIST), einer Behörde, die Teil des US-Handelsministeriums ist, entwickelt wurde. Dieses Compliance-Framework enthält einen Katalog von Sicherheits- und Datenschutzanforderungen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und kritischen Ressourcen. US-Bundesbehörden und Auftragnehmer müssen diese Anforderungen erfüllen, um ihre Systeme und Organisationen zu schützen. Private Organisationen können die Anforderungen auch freiwillig als Leitfaden für die Reduzierung des Cybersicherheitsrisikos verwenden. Weitere Informationen über das Framework und seine Anforderungen finden Sie unter [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) im *NIST Computer* Security Resource Center.
AWS Security Hub CSPM bietet Sicherheitskontrollen, die einen Teil der Anforderungen von NIST SP 800-53 Revision 5 unterstützen. Die Kontrollen führen automatisierte Sicherheitsprüfungen für bestimmte Ressourcen durch. AWS-Services Um diese Kontrollen zu aktivieren und zu verwalten, können Sie das NIST SP 800-53 Revision 5-Framework standardmäßig in Security Hub CSPM aktivieren. Beachten Sie, dass die Steuerungen die Anforderungen von NIST SP 800-53 Revision 5, die manuelle Prüfungen erfordern, nicht unterstützen.
Im Gegensatz zu anderen Frameworks schreibt das NIST SP 800-53 Revision 5-Framework nicht vor, wie seine Anforderungen bewertet werden sollten. Stattdessen enthält das Framework Richtlinien. In Security Hub CSPM stellen der Standard und die Kontrollen von NIST SP 800-53 Revision 5 das Verständnis des Dienstes in Bezug auf diese Richtlinien dar.
**Topics**
+ [Konfiguration der Ressourcenaufzeichnung für den Standard](#standards-reference-nist-800-53-recording)
+ [Festlegung, welche Kontrollen für die Norm gelten](#standards-reference-nist-800-53-controls)
## Konfiguration der Ressourcenaufzeichnung für Kontrollen, die für den Standard gelten
Um die Abdeckung und die Genauigkeit der Ergebnisse zu optimieren, ist es wichtig, die Ressourcenaufzeichnung zu aktivieren und zu konfigurieren, AWS Config bevor Sie den Standard NIST SP 800-53 Revision 5 in AWS Security Hub CSPM aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Dies gilt in erster Linie für Steuerelemente mit einem Zeitplantyp, der *durch Änderung ausgelöst wurde*. Für einige Steuerelemente mit einem *periodischen* Zeitplan ist jedoch auch die Erfassung von Ressourcen erforderlich. Wenn die Ressourcenaufzeichnung nicht aktiviert oder korrekt konfiguriert ist, ist Security Hub CSPM möglicherweise nicht in der Lage, die entsprechenden Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.
Informationen darüber, wie Security Hub CSPM die Ressourcenaufzeichnung in verwendet AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Informationen zur Konfiguration der Ressourcenaufzeichnung in AWS Config finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.
In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Kontrollen aufgezeichnet werden müssen, die für den Standard NIST SP 800-53 Revision 5 in Security Hub CSPM gelten.
| AWS-Service | Ressourcentypen |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (ICH BIN) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Amazon-Dienst | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon-S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon-Simple-Notification-Service (Amazon-SNS) | `AWS::SNS::Topic` |
| Amazon-Simple-Queue-Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker KI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Feststellen, welche Kontrollen für den Standard gelten
In der folgenden Liste sind die Kontrollen aufgeführt, die die Anforderungen von NIST SP 800-53 Revision 5 unterstützen und für den Standard NIST SP 800-53 Revision 5 in AWS Security Hub CSPM gelten. Einzelheiten zu den spezifischen Anforderungen, die ein Steuerelement unterstützt, erhalten Sie, wenn Sie das Steuerelement auswählen. Weitere Informationen finden Sie in den Details für das Steuerelement im Feld „**Verwandte Anforderungen**“. Dieses Feld gibt jede NIST-Anforderung an, die das Steuerelement unterstützt. Wenn das Feld keine bestimmte NIST-Anforderung spezifiziert, unterstützt das Steuerelement die Anforderung nicht.
+ [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)
+ [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1)
+ [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3)
+ [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4)
+ [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)
+ [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1)
+ [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6)
+ [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7)
+ [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8)
+ [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9)
+ [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10)
+ [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11)
+ [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12)
+ [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1)
+ [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)
+ [[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden](ec2-controls.md#ec2-3)
+ [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4)
+ [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)
+ [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)
+ [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)
+ [[EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4](ec2-controls.md#ec2-9)
+ [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10)
+ [[EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden](ec2-controls.md#ec2-12)
+ [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)
+ [[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15)
+ [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16)
+ [[EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs](ec2-controls.md#ec2-17)
+ [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18)
+ [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19)
+ [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20)
+ [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)
+ [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23)
+ [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25)
+ [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28)
+ [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51)
+ [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60)
+ [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1)
+ [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2)
+ [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3)
+ [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1)
+ [[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2)
+ [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5)
+ [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9)
+ [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12)
+ [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17)
+ [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2)
+ [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3)
+ [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4)
+ [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6)
+ [[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1)
+ [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)
+ [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3)
+ [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8)
+ [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1)
+ [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3)
+ [[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4)
+ [[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein](elb-controls.md#elb-5)
+ [[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein](elb-controls.md#elb-6)
+ [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7)
+ [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8)
+ [[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein](elb-controls.md#elb-9)
+ [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12)
+ [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13)
+ [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14)
+ [[ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17)
+ [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1)
+ [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4)
+ [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1)
+ [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2)
+ [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3)
+ [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4)
+ [[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5)
+ [[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben](es-controls.md#es-6)
+ [[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden](es-controls.md#es-7)
+ [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8)
+ [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2)
+ [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)
+ [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)
+ [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)
+ [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)
+ [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)
+ [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)
+ [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)
+ [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)
+ [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)
+ [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)
+ [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21)
+ [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1)
+ [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1)
+ [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2)
+ [[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden](kms-controls.md#kms-3)
+ [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)
+ [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1)
+ [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)
+ [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3)
+ [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5)
+ [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1)
+ [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2)
+ [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1)
+ [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2)
+ [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2)
+ [[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3)
+ [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6)
+ [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3)
+ [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4)
+ [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5)
+ [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6)
+ [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7)
+ [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10)
+ [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3)
+ [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4)
+ [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6)
+ [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8)
+ [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11)
+ [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1)
+ [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1)
+ [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)
+ [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)
+ [[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-4)
+ [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5)
+ [[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden](rds-controls.md#rds-6)
+ [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7)
+ [[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein](rds-controls.md#rds-8)
+ [[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9)
+ [[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden](rds-controls.md#rds-10)
+ [[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein](rds-controls.md#rds-11)
+ [[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden](rds-controls.md#rds-12)
+ [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)
+ [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14)
+ [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15)
+ [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16)
+ [[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](rds-controls.md#rds-17)
+ [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19)
+ [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20)
+ [[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21)
+ [[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22)
+ [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23)
+ [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24)
+ [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25)
+ [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26)
+ [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27)
+ [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35)
+ [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40)
+ [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42)
+ [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45)
+ [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1)
+ [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2)
+ [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3)
+ [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4)
+ [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6)
+ [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7)
+ [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2)
+ [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)
+ [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2)
+ [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3)
+ [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)
+ [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6)
+ [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7)
+ [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)
+ [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9)
+ [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10)
+ [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11)
+ [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12)
+ [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13)
+ [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14)
+ [[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein](s3-controls.md#s3-15)
+ [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19)
+ [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)
+ [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4)
+ [[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1)
+ [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2)
+ [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3)
+ [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4)
+ [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2)
+ [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3)
+ [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7)
+ [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10)
+ [[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11)
+ [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12)