As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# NIST SP 800-53 Revisão 5 no CSPM do Security Hub
A Publicação Especial 800-53 Revisão 5 do NIST (NIST SP 800-53 Rev. 5) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo Instituto Nacional de Padrões e Tecnologia (NIST), uma agência que faz parte da. U.S Departamento de Comércio. Essa estrutura de conformidade fornece um catálogo de requisitos de segurança e privacidade para proteger a confidencialidade, integridade e disponibilidade de sistemas de informação e recursos essenciais. U.S. agências e prestadores de serviços do governo federal devem cumprir esses requisitos para proteger seus sistemas e organizações. As organizações privadas também podem usar voluntariamente os requisitos como uma estrutura orientadora para reduzir os riscos de segurança cibernética. Para obter mais informações sobre a estrutura e seus requisitos, consulte [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) no *Centro de Recursos de Segurança da Informática do NIST*.
AWS O Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-53 Revisão 5. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-53 Revisão 5 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-53 Revisão 5 que exigem verificações manuais.
Ao contrário de outras estruturas, a estrutura do NIST SP 800-53 Revisão 5 não é prescritiva sobre como seus requisitos devem ser avaliados. Em vez disso, a estrutura fornece diretrizes. NO CSPM do Security Hub, o padrão e os controles do NIST SP 800-53 Revisão 5 representam a compreensão do serviço sobre essas diretrizes.
**Topics**
+ [Configuração do registro de recursos para o padrão](#standards-reference-nist-800-53-recording)
+ [Determinação de quais controles se aplicam ao padrão](#standards-reference-nist-800-53-controls)
## Configuração do registro de recursos para controles que se aplicam ao padrão
Para otimizar a cobertura e a precisão das descobertas, é importante habilitar e configurar o registro de recursos AWS Config antes de habilitar o padrão NIST SP 800-53 Revisão 5 no AWS Security Hub CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Isso é principalmente para controles que tenham um tipo de programação *acionada por alteração*. Contudo, alguns controles com um tipo de programação *periódica* também exigem o registro de recursos. Se o registro de recursos não estiver habilitado ou configurado corretamente, o CSPM do Security Hub talvez pode não ser capaz de avaliar os recursos apropriados e gerar descobertas precisas para os controles que se aplicam ao padrão.
Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos em AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações sobre como configurar a gravação de recursos em AWS Config, consulte Como [trabalhar com o gravador de configuração](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no Guia do *AWS Config desenvolvedor*.
A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-53 Revisão 5 no CSPM do Security Hub.
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| Amazon Bedrock AgentCore | `AWS::BedrockAgentCore::Gateway`, `AWS::BedrockAgentCore::Memory` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Serviço Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| banco de dados de origem | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| SageMaker IA da Amazon | `AWS::SageMaker::FeatureGroup`, `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Determinação de quais controles se aplicam ao padrão
A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-53 Revisão 5 e se aplicam ao padrão NIST SP 800-53 Revisão 5 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo **Requisitos relacionados** nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
+ [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)
+ [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)
+ [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1)
+ [[BedrockAgentCore.3] A AgentCore memória Bedrock deve ser criptografada e gerenciada pelo cliente AWS KMS keys](bedrockagentcore-controls.md#bedrockagentcore-3)
+ [[BedrockAgentCore.4] O Bedrock AgentCore Gateway deve ser criptografado com gerenciamento de clientes AWS KMS keys](bedrockagentcore-controls.md#bedrockagentcore-4)
+ [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[Config.1] AWS Config deve ser habilitado e usar a função vinculada ao serviço para registro de recursos](config-controls.md#config-1)
+ [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1)
+ [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6)
+ [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7)
+ [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8)
+ [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10)
+ [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12)
+ [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Os snapshots do Amazon EBS não devem ser configurados para serem restauráveis publicamente](ec2-controls.md#ec2-1)
+ [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída](ec2-controls.md#ec2-2)
+ [[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso](ec2-controls.md#ec2-3)
+ [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4)
+ [[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs](ec2-controls.md#ec2-6)
+ [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)
+ [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)](ec2-controls.md#ec2-8)
+ [[EC2.9] As instâncias do Amazon EC2 não devem ter um endereço IPv4 público](ec2-controls.md#ec2-9)
+ [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.12] Os EIPs do Amazon EC2 não utilizados devem ser removidos](ec2-controls.md#ec2-12)
+ [[EC2.13] Grupos de segurança não devem permitir a entrada a partir de 0.0.0. 0/0 ou: :/0 para a porta 22](ec2-controls.md#ec2-13)
+ [[EC2.15] As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15)
+ [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16)
+ [[EC2.17] As instâncias do Amazon EC2 não devem usar vários ENIs](ec2-controls.md#ec2-17)
+ [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18)
+ [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19)
+ [[EC2.20] Ambos os túneis VPN para um AWS Site-to-Site A conexão VPN deve estar ativa](ec2-controls.md#ec2-20)
+ [[EC2.21] As ACLs de rede não devem permitir a entrada a partir de 0.0.0. 0/0 para a porta 22 ou porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.23] Os Amazon EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24)
+ [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede](ec2-controls.md#ec2-25)
+ [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28)
+ [[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado](ec2-controls.md#ec2-51)
+ [[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1)
+ [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2)
+ [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3)
+ [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1)
+ [[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2)
+ [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3)
+ [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4)
+ [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5)
+ [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8)
+ [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9)
+ [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17)
+ [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2)
+ [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3)
+ [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4)
+ [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6)
+ [[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1)
+ [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)
+ [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3)
+ [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8)
+ [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1)
+ [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2)
+ [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4)
+ [[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado](elb-controls.md#elb-5)
+ [[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada](elb-controls.md#elb-6)
+ [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7)
+ [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8)
+ [[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado](elb-controls.md#elb-9)
+ [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10)
+ [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12)
+ [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13)
+ [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14)
+ [[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17)
+ [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1)
+ [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3)
+ [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4)
+ [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada](es-controls.md#es-1)
+ [[ES.2] Os domínios do Elasticsearch não devem ser acessíveis ao público](es-controls.md#es-2)
+ [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3)
+ [[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado](es-controls.md#es-4)
+ [[ES.5] Os domínios do Elasticsearch devem ter o registro de auditoria ativado](es-controls.md#es-5)
+ [[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados](es-controls.md#es-6)
+ [[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados](es-controls.md#es-7)
+ [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8)
+ [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2)
+ [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\*"](iam-controls.md#iam-1)
+ [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
+ [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)
+ [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)
+ [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)
+ [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)
+ [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)
+ [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)
+ [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)
+ [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)
+ [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21)
+ [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1)
+ [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1)
+ [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2)
+ [[KMS.3] não AWS KMS keys deve ser excluído acidentalmente](kms-controls.md#kms-3)
+ [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)
+ [[Lambda.1] As políticas da função Lambda devem proibir o acesso público](lambda-controls.md#lambda-1)
+ [[Lambda.2] As funções Lambda devem usar tempos de execução compatíveis](lambda-controls.md#lambda-2)
+ [[Lambda.3] As funções Lambda devem estar em uma VPC](lambda-controls.md#lambda-3)
+ [[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5)
+ [[Lambda.7] As funções Lambda devem ter AWS X-Ray rastreamento ativo ativado](lambda-controls.md#lambda-7)
+ [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2)
+ [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1)
+ [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2)
+ [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2)
+ [[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3)
+ [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6)
+ [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1)
+ [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3)
+ [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4)
+ [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5)
+ [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6)
+ [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7)
+ [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8)
+ [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10)
+ [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1)
+ [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2)
+ [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3)
+ [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4)
+ [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5)
+ [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6)
+ [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8)
+ [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10)
+ [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11)
+ [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1)
+ [[RDS.1] O instantâneo do RDS deve ser privado](rds-controls.md#rds-1)
+ [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)
+ [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso ativada](rds-controls.md#rds-3)
+ [[RDS.4] Os instantâneos do cluster do RDS e os instantâneos do banco de dados devem ser criptografados em repouso](rds-controls.md#rds-4)
+ [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5)
+ [[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS](rds-controls.md#rds-6)
+ [[RDS.7] Os clusters do RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7)
+ [[RDS.8] As instâncias de banco de dados do RDS devem ter a proteção de exclusão ativada](rds-controls.md#rds-8)
+ [[RDS.9] As instâncias de banco de dados do RDS devem publicar registros em Logs CloudWatch](rds-controls.md#rds-9)
+ [[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS](rds-controls.md#rds-10)
+ [[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados](rds-controls.md#rds-11)
+ [[RDS.12] A autenticação do IAM deve ser configurada para clusters RDS](rds-controls.md#rds-12)
+ [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)
+ [[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado](rds-controls.md#rds-14)
+ [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15)
+ [[RDS.16] Os clusters de banco de dados Aurora devem ser configurados para copiar tags para DB snapshots](rds-controls.md#rds-16)
+ [[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos](rds-controls.md#rds-17)
+ [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19)
+ [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instância de banco de dados](rds-controls.md#rds-20)
+ [[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21)
+ [[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22)
+ [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23)
+ [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24)
+ [[RDS.25] As instâncias do banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25)
+ [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26)
+ [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27)
+ [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias habilitada](rds-controls.md#rds-35)
+ [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado](rds-controls.md#rds-45)
+ [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1)
+ [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2)
+ [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3)
+ [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4)
+ [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6)
+ [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7)
+ [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8)
+ [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2)
+ [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)
+ [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2)
+ [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3)
+ [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)
+ [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6)
+ [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7)
+ [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)
+ [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9)
+ [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11)
+ [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12)
+ [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14)
+ [[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado](s3-controls.md#s3-15)
+ [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19)
+ [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)
+ [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] as variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.18] lojas online de grupos de SageMaker recursos com armazenamento padrão devem ser criptografadas com AWS KMS keys](sagemaker-controls.md#sagemaker-18)
+ [[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Remover segredos não utilizados do Secrets Manager](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1)
+ [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2)
+ [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3)
+ [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4)
+ [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2)
+ [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3)
+ [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1)
+ [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2)
+ [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3)
+ [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4)
+ [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6)
+ [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7)
+ [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10)
+ [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11)
+ [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12)