Límites regionales de los controles del CSPM de Security Hub
Algunos controles del CSPM de AWS Security Hub no están disponibles en todas las Regiones de AWS. Esta página indica qué controles no están disponibles en regiones específicas.
En la consola del CSPM de Security Hub, un control no aparece en la lista si no está disponible en la región en la que ha iniciado sesión. La excepción es una región de agregación. Si configuró una región de agregación e inicia sesión en esa región, la consola muestra los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.
Regiones de AWS
Este de EE. UU. (Norte de Virginia)
Los siguientes controles no se admiten en la región este de EE. UU. (norte de Virginia).
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
Este de EE. UU. (Ohio)
Los siguientes controles no se admiten en la región este de EE. UU. (Ohio).
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Oeste de EE. UU. (Norte de California)
Los siguientes controles no se admiten en la región oeste de EE. UU. (norte de California).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Oeste de EE. UU. (Oregón)
Los siguientes controles no se admiten en la región oeste de EE. UU. (Oregón).
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
África (Ciudad del Cabo)
Los siguientes controles no se admiten en la región África (Ciudad del Cabo).
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Hong Kong)
Los siguientes controles no se admiten en la región Asia-Pacífico (Hong Kong).
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Hyderabad)
Los siguientes controles no se admiten en la región Asia-Pacífico (Hyderabad).
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Yakarta)
Los siguientes controles no se admiten en la región Asia-Pacífico (Yakarta).
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Malasia)
Los siguientes controles no se admiten en la región Asia-Pacífico (Malasia).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeBuild.7] Las exportaciones de grupos de informes de CodeBuild deben cifrarse en reposo
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
-
[DataSync.1] Las tareas de DataSync deben tener el registro habilitado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR
-
[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] Los buses de eventos de EventBridge deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
-
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.1] Los flujos de trabajo de AWS Transfer Family deben etiquetarse
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Melbourne)
Los siguientes controles no se admiten en la región Asia-Pacífico (Melbourne).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Mumbai)
Los siguientes controles no se admiten en la región Asia-Pacífico (Bombay).
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Nueva Zelanda)
Los siguientes controles no se admiten en la región Asia-Pacífico (Nueva Zelanda).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.4] La API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.5] Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[AutoScaling.10] Los grupos de escalado automático de EC2 deben estar etiquetados
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudTrail.9] Los registros de seguimiento de CloudTrail deben etiquetarse
-
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeBuild.7] Las exportaciones de grupos de informes de CodeBuild deben cifrarse en reposo
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
-
[DataSync.1] Las tareas de DataSync deben tener el registro habilitado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse
-
[EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse
-
[EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse
-
[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse
-
[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR
-
[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.15] Las definiciones de tareas de ECS deben etiquetarse
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los equilibradores de carga de aplicaciones deben estar asociados a una ACL web de AWS WAF
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
-
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
-
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] Los buses de eventos de EventBridge deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
-
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[KMS.3] AWS KMS keys no debe eliminarse de forma involuntaria
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[NetworkFirewall.7] Los firewall de Network Firewall se deben etiquetar
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
-
[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
-
[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.17] Los buckets de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
Los secretos de Secrets Manager [SecretsManager.4] deben renovarse en un número específico de días
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.1] Los flujos de trabajo de AWS Transfer Family deben etiquetarse
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
El registro de ACL web de AWS WAF [WAF.11] debe estar habilitado
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Osaka)
Los siguientes controles no se admiten en la región Asia-Pacífico (Osaka).
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.20] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR
-
[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ELB.16] Los equilibradores de carga de aplicaciones deben estar asociados a una ACL web de AWS WAF
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Seúl)
Los siguientes controles no se admiten en la región Asia-Pacífico (Seúl).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Singapur)
Los siguientes controles no se admiten en la región Asia-Pacífico (Singapur).
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Sídney)
Los siguientes controles no se admiten en la región Asia-Pacífico (Sídney).
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Taipéi)
Los siguientes controles no se admiten en la región Asia-Pacífico (Taipéi).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.4] La API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.5] Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[AutoScaling.10] Los grupos de escalado automático de EC2 deben estar etiquetados
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudTrail.9] Los registros de seguimiento de CloudTrail deben etiquetarse
-
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeBuild.7] Las exportaciones de grupos de informes de CodeBuild deben cifrarse en reposo
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
-
[DataSync.1] Las tareas de DataSync deben tener el registro habilitado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse
-
[EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse
-
[EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse
-
[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse
-
[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR
-
[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.15] Las definiciones de tareas de ECS deben etiquetarse
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los equilibradores de carga de aplicaciones deben estar asociados a una ACL web de AWS WAF
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
-
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
-
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] Los buses de eventos de EventBridge deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
-
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[KMS.3] AWS KMS keys no debe eliminarse de forma involuntaria
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[NetworkFirewall.7] Los firewall de Network Firewall se deben etiquetar
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
-
[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
-
[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.17] Los buckets de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
Los secretos de Secrets Manager [SecretsManager.4] deben renovarse en un número específico de días
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.1] Los flujos de trabajo de AWS Transfer Family deben etiquetarse
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
El registro de ACL web de AWS WAF [WAF.11] debe estar habilitado
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Tailandia)
Los siguientes controles no se admiten en la región Asia-Pacífico (Tailandia).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeBuild.7] Las exportaciones de grupos de informes de CodeBuild deben cifrarse en reposo
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
-
[DataSync.1] Las tareas de DataSync deben tener el registro habilitado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR
-
[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] Los buses de eventos de EventBridge deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
-
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.1] Los flujos de trabajo de AWS Transfer Family deben etiquetarse
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
El registro de ACL web de AWS WAF [WAF.11] debe estar habilitado
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Asia-Pacífico (Tokio)
Los siguientes controles no se admiten en la región Asia-Pacífico (Tokio).
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Canadá (centro)
Los siguientes controles no se admiten en la región Canadá (centro).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Oeste de Canadá (Calgary)
Los siguientes controles no se admiten en la región Oeste de Canadá (Calgary).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeBuild.7] Las exportaciones de grupos de informes de CodeBuild deben cifrarse en reposo
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
-
[DataSync.1] Las tareas de DataSync deben tener el registro habilitado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR
-
[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
China (Pekín)
Los siguientes controles no se admiten en la región China (Pekín).
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.20] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse
-
[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
-
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación
-
La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
China (Ningxia)
Los siguientes controles no se admiten en la región China (Ningxia).
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.20] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse
-
[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
-
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
-
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Europa (Fráncfort)
Los siguientes controles no se admiten en la región Europa (Fráncfort).
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Europa (Irlanda)
Los siguientes controles no se admiten en la región Europa (Irlanda).
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Europa (Londres)
Los siguientes controles no se admiten en la región Europa (Londres).
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
Europa (Milán)
Los siguientes controles no se admiten en la región Europa (Milán).
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Europa (París)
Los siguientes controles no se admiten en la región Europa (París).
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Europa (España)
Los siguientes controles no se admiten en la región Europa (España).
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Europa (Estocolmo)
Los siguientes controles no se admiten en la región Europa (Estocolmo).
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Europa (Zúrich)
Los siguientes controles no se admiten en la región Europa (Zúrich).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Israel (Tel Aviv)
Los siguientes controles no se admiten en la región Israel (Tel Aviv).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.20] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR
-
[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
México (central)
Los siguientes controles no se admiten en la región México (centro).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.4] La API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeBuild.7] Las exportaciones de grupos de informes de CodeBuild deben cifrarse en reposo
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
-
[DataSync.1] Las tareas de DataSync deben tener el registro habilitado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR
-
[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] Los buses de eventos de EventBridge deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
-
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
Los secretos de Secrets Manager [SecretsManager.4] deben renovarse en un número específico de días
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.1] Los flujos de trabajo de AWS Transfer Family deben etiquetarse
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
El registro de ACL web de AWS WAF [WAF.11] debe estar habilitado
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Medio Oriente (Baréin)
Los siguientes controles no se admiten en la región Medio Oriente (Baréin).
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.20] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
Medio Oriente (EAU)
Los siguientes controles no se admiten en la región Medio Oriente (EAU).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudWatch.16] Los grupos de registros de CloudWatch deben retenerse durante un periodo específico
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.12] Los EIP EC2 de Amazon sin utilizar deben eliminarse
-
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
-
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software
-
[Opensearch.11] Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
América del Sur (São Paulo)
Los siguientes controles no se admiten en la región América del Sur (São Paulo).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
AWS GovCloud (Este de EE. UU.)
Los siguientes controles no se admiten en la región AWS GovCloud (Este de EE. UU.).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse
-
[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
-
[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo
-
[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo
AWS GovCloud (Oeste de EE. UU.)
Los siguientes controles no se admiten en la región AWS GovCloud (Oeste de EE. UU.).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API
-
[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito
-
[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado
-
[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS
-
[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados
-
[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo
-
[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito
-
[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
-
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
-
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
-
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
-
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
-
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo
-
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público
-
Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos
-
Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos
-
Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada
-
Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker
-
[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado
-
Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición
-
Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas
-
Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición
-
Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla
-
Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas
-
Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
