Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# NIST SP 800-53 Revisione 5 nel Security Hub CSPM
La pubblicazione speciale NIST 800-53 Revisione 5 (NIST SP 800-53 Rev. 5) è un framework di sicurezza informatica e conformità sviluppato dal National Institute of Standards and Technology (NIST), un'agenzia che fa parte del. U.S Dipartimento del Commercio. Questo framework di conformità fornisce un catalogo di requisiti di sicurezza e privacy per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi di informazione e delle risorse critiche. U.S. le agenzie governative federali e gli appaltatori devono rispettare questi requisiti per proteggere i propri sistemi e le proprie organizzazioni. Le organizzazioni private possono inoltre utilizzare volontariamente i requisiti come quadro guida per ridurre i rischi di sicurezza informatica. *Per ulteriori informazioni sul framework e sui relativi requisiti, vedere [NIST SP 800-53 Rev. 5 nel NIST Computer Security Resource Center.](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)*
AWS Security Hub CSPM fornisce controlli di sicurezza che supportano un sottoinsieme dei requisiti NIST SP 800-53 Revisione 5. I controlli eseguono controlli di sicurezza automatici per determinate risorse. Servizi AWS Per abilitare e gestire questi controlli, è possibile abilitare il framework NIST SP 800-53 Revision 5 come standard in Security Hub CSPM. Tieni presente che i controlli non supportano i requisiti NIST SP 800-53 Revisione 5 che richiedono controlli manuali.
A differenza di altri framework, il framework NIST SP 800-53 Revision 5 non è prescrittivo su come valutare i suoi requisiti. Invece, il framework fornisce delle linee guida. In Security Hub CSPM, lo standard e i controlli NIST SP 800-53 Revision 5 rappresentano la comprensione da parte del servizio di queste linee guida.
**Topics**
+ [Configurazione della registrazione delle risorse per lo standard](#standards-reference-nist-800-53-recording)
+ [Determinare quali controlli si applicano allo standard](#standards-reference-nist-800-53-controls)
## Configurazione della registrazione delle risorse per i controlli che si applicano allo standard
Per ottimizzare la copertura e l'accuratezza dei risultati, è importante abilitare e configurare la registrazione delle risorse AWS Config prima di abilitare lo standard NIST SP 800-53 Revisione 5 in Security Hub AWS CSPM. Quando configuri la registrazione delle risorse, assicurati anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. Questo è principalmente per i controlli che hanno un tipo di pianificazione *innescato dalla modifica*. Tuttavia, alcuni controlli con un tipo di pianificazione *periodica* richiedono anche la registrazione delle risorse. Se la registrazione delle risorse non è abilitata o configurata correttamente, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard.
Per informazioni su come Security Hub CSPM utilizza la registrazione delle risorse AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni sulla configurazione della registrazione delle risorse in AWS Config, vedere [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli sviluppatori.AWS Config *
La tabella seguente specifica i tipi di risorse da registrare per i controlli che si applicano allo standard NIST SP 800-53 Revision 5 in Security Hub CSPM.
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Gateway Amazon API | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| Amazon Bedrock AgentCore | `AWS::BedrockAgentCore::Gateway`, `AWS::BedrockAgentCore::Memory` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS)) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::FeatureGroup`, `AWS::SageMaker::NotebookInstance` |
| Gestione dei segreti AWS | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Determinare quali controlli si applicano allo standard
L'elenco seguente specifica i controlli che supportano i requisiti NIST SP 800-53 Revisione 5 e si applicano allo standard NIST SP 800-53 Revisione 5 in Security Hub CSPM. AWS Per informazioni dettagliate sui requisiti specifici supportati da un controllo, scegliete il controllo. Quindi, fai riferimento al campo **Requisiti correlati** nei dettagli del controllo. Questo campo specifica ogni requisito NIST supportato dal controllo. Se il campo non specifica un particolare requisito NIST, il controllo non supporta il requisito.
+ [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)
+ [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1)
+ [[BedrockAgentCore.3] Bedrock AgentCore Memory deve essere crittografata e gestita dal cliente AWS KMS keys](bedrockagentcore-controls.md#bedrockagentcore-3)
+ [[BedrockAgentCore.4] Bedrock AgentCore Gateway deve essere crittografato con Customer Managed AWS KMS keys](bedrockagentcore-controls.md#bedrockagentcore-4)
+ [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4)
+ [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)
+ [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1)
+ [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6)
+ [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7)
+ [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8)
+ [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9)
+ [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10)
+ [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11)
+ [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12)
+ [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Le istantanee di Amazon EBS non devono essere configurate per essere ripristinabili pubblicamente](ec2-controls.md#ec2-1)
+ [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)
+ [[EC2.3] I volumi Amazon EBS collegati devono essere crittografati quando sono inattivi](ec2-controls.md#ec2-3)
+ [[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4)
+ [[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC](ec2-controls.md#ec2-6)
+ [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)
+ [[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)](ec2-controls.md#ec2-8)
+ [[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo IPv4 pubblico](ec2-controls.md#ec2-9)
+ [[EC2.10] Amazon EC2 deve essere configurato per utilizzare gli endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.12] Gli EIP Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-12)
+ [[EC2.13] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 22](ec2-controls.md#ec2-13)
+ [[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15)
+ [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16)
+ [[EC2.17] Le istanze Amazon EC2 non devono utilizzare più ENI](ec2-controls.md#ec2-17)
+ [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18)
+ [[EC2.19] I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19)
+ [[EC2.20] Entrambi i tunnel VPN per un AWS Site-to-Site La connessione VPN dovrebbe essere attiva](ec2-controls.md#ec2-20)
+ [[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso a partire dalla versione 0.0.0. 0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.23] I gateway di transito Amazon EC2 non dovrebbero accettare automaticamente richieste di allegati VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24)
+ [[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete](ec2-controls.md#ec2-25)
+ [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28)
+ [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione della connessione client abilitata](ec2-controls.md#ec2-51)
+ [[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58)
+ [[EC2.60] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1)
+ [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2)
+ [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3)
+ [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1)
+ [[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2)
+ [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3)
+ [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4)
+ [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5)
+ [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8)
+ [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9)
+ [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17)
+ [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2)
+ [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3)
+ [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4)
+ [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6)
+ [[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1)
+ [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)
+ [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3)
+ [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8)
+ [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1)
+ [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4)
+ [[ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata](elb-controls.md#elb-5)
+ [[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6)
+ [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7)
+ [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8)
+ [[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato](elb-controls.md#elb-9)
+ [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12)
+ [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13)
+ [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14)
+ [[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17)
+ [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1)
+ [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2)
+ [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3)
+ [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4)
+ [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1)
+ [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2)
+ [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3)
+ [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4)
+ [[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5)
+ [[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6)
+ [[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7)
+ [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8)
+ [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2)
+ [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\*» completi](iam-controls.md#iam-1)
+ [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
+ [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)
+ [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)
+ [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)
+ [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)
+ [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
+ [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
+ [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)
+ [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)
+ [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
+ [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1)
+ [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1)
+ [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2)
+ [[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3)
+ [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)
+ [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1)
+ [[Lambda.2] Le funzioni Lambda devono utilizzare i runtime supportati](lambda-controls.md#lambda-2)
+ [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3)
+ [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le funzioni Lambda dovrebbero avere AWS X-Ray tracciamento attivo abilitato](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1)
+ [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2)
+ [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1)
+ [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2)
+ [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3)
+ [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5)
+ [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6)
+ [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3)
+ [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4)
+ [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5)
+ [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6)
+ [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7)
+ [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8)
+ [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10)
+ [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1)
+ [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2)
+ [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3)
+ [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4)
+ [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5)
+ [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6)
+ [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8)
+ [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10)
+ [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11)
+ [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1)
+ [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1)
+ [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)
+ [[RDS.3] Le istanze DB RDS devono avere la crittografia a riposo abilitata](rds-controls.md#rds-3)
+ [[RDS.4] Gli snapshot del cluster RDS e gli snapshot del database devono essere crittografati quando sono inattivi](rds-controls.md#rds-4)
+ [[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5)
+ [[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS](rds-controls.md#rds-6)
+ [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7)
+ [[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8)
+ [[RDS.9] Le istanze DB RDS devono pubblicare i log in Logs CloudWatch](rds-controls.md#rds-9)
+ [[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS](rds-controls.md#rds-10)
+ [[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11)
+ [[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12)
+ [[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)
+ [[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato](rds-controls.md#rds-14)
+ [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15)
+ [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee DB](rds-controls.md#rds-16)
+ [[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17)
+ [[RDS.19] Gli abbonamenti esistenti per le notifiche di eventi RDS devono essere configurati per gli eventi critici del cluster](rds-controls.md#rds-19)
+ [[RDS.20] Le sottoscrizioni esistenti per le notifiche degli eventi RDS devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20)
+ [[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21)
+ [[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22)
+ [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23)
+ [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24)
+ [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato](rds-controls.md#rds-25)
+ [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26)
+ [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27)
+ [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch](rds-controls.md#rds-34)
+ [[] RDS.35 I cluster RDS DB devono avere l'aggiornamento automatico delle versioni secondarie abilitato](rds-controls.md#rds-35)
+ [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45)
+ [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1)
+ [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2)
+ [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3)
+ [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6)
+ [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7)
+ [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8)
+ [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2)
+ [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)
+ [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2)
+ [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3)
+ [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)
+ [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6)
+ [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7)
+ [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)
+ [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)
+ [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10)
+ [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11)
+ [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12)
+ [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13)
+ [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14)
+ [[S3.15] I bucket generici S3 devono avere Object Lock abilitato](s3-controls.md#s3-15)
+ [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19)
+ [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)
+ [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.18] I negozi online del gruppo di SageMaker funzionalità con archiviazione standard devono essere crittografati con AWS KMS keys](sagemaker-controls.md#sagemaker-18)
+ [[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1)
+ [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)
+ [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4)
+ [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2)
+ [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3)
+ [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1)
+ [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2)
+ [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3)
+ [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4)
+ [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6)
+ [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7)
+ [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10)
+ [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11)
+ [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12)