

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IRS 1075 的操作最佳實務
<a name="operational-best-practices-for-irs-1075"></a>

合規套件提供一般用途的合規架構，旨在讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、營運或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。

以下提供 IRS 1075 與 AWS 受管 Config 規則之間的範例映射。每個 Config 規則都適用於特定 AWS 資源，並與一或多個 IRS 1075 控制項相關。一個 IRS 1075 控制可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引，請參閱下方資料表。


****  

| 控制 ID  | 控制描述  | AWS 組態規則  | 指引  | 
| --- | --- | --- | --- | 
| 3.3.1 雲端運算 d. 傳輸中的資料加密 | 在雲端環境中傳輸的 FTI 必須進行加密。用於加密 FTI 的所有機制都必須通過 FIPS 140 認證，並利用最新的 FIPS 140 合規模組來運作。必須在 SLA 中包含此要求。 | [alb-http-to-https-redirection-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | 為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 3.3.1 雲端運算 d. 傳輸中的資料加密 | 在雲端環境中傳輸的 FTI 必須進行加密。用於加密 FTI 的所有機制都必須通過 FIPS 140 認證，並利用最新的 FIPS 140 合規模組來運作。必須在 SLA 中包含此要求。 | [elasticsearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html) | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 3.3.1 雲端運算 d. 傳輸中的資料加密 | 在雲端環境中傳輸的 FTI 必須進行加密。用於加密 FTI 的所有機制都必須通過 FIPS 140 認證，並利用最新的 FIPS 140 合規模組來運作。必須在 SLA 中包含此要求。 | [elb-tls-https-listeners-only](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html) | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 3.3.1 雲端運算 d. 傳輸中的資料加密 | 在雲端環境中傳輸的 FTI 必須進行加密。用於加密 FTI 的所有機制都必須通過 FIPS 140 認證，並利用最新的 FIPS 140 合規模組來運作。必須在 SLA 中包含此要求。 | [opensearch-https-required](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html) | 由於可能存在敏感資料，因此為了協助保護傳輸中的資料，請確保已針對 Amazon OpenSearch Service 網域的連線啟用 HTTPS。 | 
| 3.3.1 雲端運算 d. 傳輸中的資料加密 | 在雲端環境中傳輸的 FTI 必須進行加密。用於加密 FTI 的所有機制都必須通過 FIPS 140 認證，並利用最新的 FIPS 140 合規模組來運作。必須在 SLA 中包含此要求。 | [opensearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html) | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 3.3.1 雲端運算 d. 傳輸中的資料加密 | 在雲端環境中傳輸的 FTI 必須進行加密。用於加密 FTI 的所有機制都必須通過 FIPS 140 認證，並利用最新的 FIPS 140 合規模組來運作。必須在 SLA 中包含此要求。 | [redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 3.3.1 雲端運算 d. 傳輸中的資料加密 | 在雲端環境中傳輸的 FTI 必須進行加密。用於加密 FTI 的所有機制都必須通過 FIPS 140 認證，並利用最新的 FIPS 140 合規模組來運作。必須在 SLA 中包含此要求。 | [s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | 為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [api-gw-cache-enabled-and-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | 為了協助保護靜態資料，請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [backup-recovery-point-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html) | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | 由於可能存在敏感資料，且為了協助保護靜態資料，請確保已啟用 AWS CloudTrail 追蹤的加密。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [dynamodb-table-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-encrypted-kms.html) | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。根據預設，DynamoDB 資料表會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | 為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [elasticsearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service (OpenSearch Service) 網域啟用加密功能。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [kinesis-stream-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Kinesis Streams 啟用加密功能。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service 網域啟用加密功能。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | 為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | 為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [redshift-cluster-kms-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html) | 為了協助保護靜態資料，請確定您的 Amazon Redshift 叢集已啟用 AWS Key Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | 為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [s3-default-encryption-kms](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [sagemaker-endpoint-configuration-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | 為了協助保護靜態資料，請確定已啟用 SageMaker 端點的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 端點中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [sagemaker-notebook-instance-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-kms-key-configured.html) | 為了協助保護靜態資料，請確定已啟用 SageMaker 筆記本的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 筆記本中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 e. 靜態資料加密 | 靜態資料加密：雲端中的靜態 FTI 必須使用最新的 FIPS 140 認證加密機制進行加密。必須在 SLA 中包含此要求。 | [secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html) | 為了協助保護靜態資料，請確定已啟用 AWS Secrets Manager 秘密的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 3.3.1 雲端運算 k. 多重要素驗證 | 當機構從網際網路提供其雲端解決方案時 (即從機構信任的網路外部存取雲端解決方案)，必須實作足夠的多重要素驗證。 | [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | 啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | 
| 3.3.1 雲端運算 k. 多重要素驗證 | 當機構從網際網路提供其雲端解決方案時 (即從機構信任的網路外部存取雲端解決方案)，必須實作足夠的多重要素驗證。 | [mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | 確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA，以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。 | 
| 3.3.1 雲端運算 k. 多重要素驗證 | 當機構從網際網路提供其雲端解決方案時 (即從機構信任的網路外部存取雲端解決方案)，必須實作足夠的多重要素驗證。 | [root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | 確保為根使用者啟用硬體 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| 3.3.1 雲端運算 k. 多重要素驗證 | 當機構從網際網路提供其雲端解決方案時 (即從機構信任的網路外部存取雲端解決方案)，必須實作足夠的多重要素驗證。 | [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | 確保根使用者已啟用 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| 3.3.1 雲端運算 i. 風險評估： |  機構必須對用於接收、處理、儲存、存取、保護和/或傳輸 FTI 的所有資訊系統，每年進行適當的安全和隱私評估。 | annual-risk-assessment-performed (程序檢查) | 對貴組織執行年度風險評定。風險評估可協助確定已識別風險和/或漏洞影響組織的可能性及影響內容。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | Amazon GuardDuty 依嚴重性 (低、中和高) 分類調查結果，協助您了解事件的影響。您可以使用這些分類決定修復策略和優先順序。此規則可讓您根據組織政策的要求，為未封存的調查結果選擇性地設定 daysLowSev (Config 預設值：30)、daysMediumSev (Config 預設值：7) 及 daysHighSev (Config 預設值：1)。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [netfw-policy-rule-group-associated](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html) |  AWS Network Firewall 政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包與流量流程，並定義預設流量處理。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [netfw-stateless-rule-group-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html) |  AWS Network Firewall 規則群組包含規則，定義防火牆如何處理 VPC 中的流量。防火牆政策中存在的空白無狀態規則群組不會處理流量。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS 防火牆管理員和 AWS 合作夥伴解決方案。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [waf-regional-rule-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html) | 確保您的 AWS WAF 具有不是空的規則。沒有條件的規則可能會導致非預期的行為。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [waf-regional-rulegroup-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html) | 確保您的 AWS WAF 有一個不是空的規則群組。空白規則群組可能會導致非預期的行為。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty.html) | 連接到 AWS WAF 的 Web ACL 可以包含規則和規則群組的集合，以檢查和控制 Web 請求。如果 Web ACL 為空白，Web 流量會在不被 WAF 所偵測或採取行動的情況下通過。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [alb-waf-enabled](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html) | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。 | 
| 3.3.6 網路邊界和基礎設施 | 機構必須在整個系統架構中實作邊界防護裝置 (包括路由器、防火牆、交換器和入侵偵測系統)，以便保護 FTI 和 FTI 系統。 | [api-gw-associated-with-waf](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html) | AWS WAF 可讓您設定一組規則 （稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊 | 
| AC-2 帳戶管理 (f) | 根據機構帳戶管理程序的先決條件，建立、啟用、修改、停用和移除帳戶； | [iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰，協助您取得存取許可和授權。如果識別出這些未使用的憑證，建議您停用和/或移除憑證，因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值：90)。實際值應反映貴組織的政策。 | 
| AC-2 帳戶管理 (f) | 根據機構帳戶管理程序的先決條件，建立、啟用、修改、停用和移除帳戶； | [account-part-of-organizations](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html) |  AWS Organizations AWS 帳戶 內的集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致，這可能會公開資源和敏感資料。 | 
| AC-2 帳戶管理 (f) | 根據機構帳戶管理程序的先決條件，建立、啟用、修改、停用和移除帳戶； | [iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色，即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之，請建立和使用角色型 AWS 帳戶 以協助整合功能最少的原則。 | 
| AC-2 帳戶管理 (f) | 根據機構帳戶管理程序的先決條件，建立、啟用、修改、停用和移除帳戶； | [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | 啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | 
| AC-2 帳戶管理 (f) | 根據機構帳戶管理程序的先決條件，建立、啟用、修改、停用和移除帳戶； | [iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。 | 
| AC-2 帳戶管理 (g) | 監控帳戶的使用 | [cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶 、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | 
| AC-2 帳戶管理 (g) | 監控帳戶的使用 | [cloud-trail-cloud-watch-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | 
| AC-2 帳戶管理 (g) | 監控帳戶的使用 | [cloud-trail-log-file-validation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後，日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案，而無需偵測。 | 
| AC-2 帳戶管理 (g) | 監控帳戶的使用 | [guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | 
| AC-2 帳戶管理 (g) | 監控帳戶的使用 | [rds-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html) | 若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | 
| AC-2 帳戶管理 (g) | 監控帳戶的使用 | [redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | 為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。 | 
| AC-2 帳戶管理 (g) | 監控帳戶的使用 | [s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。 | 
| AC-2 帳戶管理 (g) | 監控帳戶的使用 | [securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS 防火牆管理員和 AWS 合作夥伴解決方案。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | 確保根使用者已啟用 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | 此規則可確保 AWS Secrets Manager 秘密已根據輪換排程成功輪換。定期輪換密碼可縮短密碼處於作用中的時間，並可能降低密碼洩露時所造成的業務影響。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html) | 此規則可確保 AWS Secrets Manager 秘密已啟用定期輪換。定期輪換密碼可縮短密碼的作用中時間，並可能降低密碼洩漏時所造成的業務影響。預設值為 90 天。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html) | 如果 AWS Secrets Manager 中存在未使用的登入資料，您應該停用和/或移除登入資料，因為這可能會違反最低權限的原則。此規則允許您將值設定為 unusedForDays (Config 預設值：90)。實際值應反映貴組織的政策。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值： true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值： true)、 RequireSymbols (AWS 基礎安全最佳實務值： true)、 RequireNumbers (AWS 基礎安全最佳實務值： true)、 MinimumPasswordLength AWS （基本安全最佳實務值： 14)、 PasswordReusePrevention AWS （基礎安全最佳實務值： 24)、 和 MaxPasswordAge AWS （基礎安全最佳實務值： 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | 透過確保 IAM 存取金鑰依照組織政策所指定輪換，稽核登入資料是否有授權的裝置、使用者和程序。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間，並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值：90)。實際值應反映貴組織的政策。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [iam-policy-no-statements-with-full-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html) | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [iam-policy-no-statements-with-admin-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，限制政策在「資源」：「\*」上包含「效果」：「允許」與「動作」：「\*」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色，即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之，請建立和使用角色型 AWS 帳戶 以協助整合功能最少的原則。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。 | 
| AC-2 帳戶管理 (j) | 檢閱帳戶是否符合帳戶管理要求 | [iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰，協助您取得存取許可和授權。如果識別出這些未使用的憑證，建議您停用和/或移除憑證，因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值：90)。實際值應反映貴組織的政策。 | 
| (CE-1) 自動化系統帳戶管理 | 支援使用自動化機制管理系統帳戶。 | [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值： true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值： true)、 RequireSymbols (AWS 基礎安全最佳實務值： true)、 RequireNumbers (AWS 基礎安全最佳實務值： true)、 MinimumPasswordLength AWS （基本安全最佳實務值： 14)、 PasswordReusePrevention AWS （基礎安全最佳實務值： 24)、 和 MaxPasswordAge AWS （基礎安全最佳實務值： 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | 
| (CE-1) 自動化系統帳戶管理 | 支援使用自動化機制管理系統帳戶。 | [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | 透過確保 IAM 存取金鑰依照組織政策所指定輪換，稽核登入資料是否有授權的裝置、使用者和程序。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間，並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值：90)。實際值應反映貴組織的政策。 | 
| (CE-1) 自動化系統帳戶管理 | 支援使用自動化機制管理系統帳戶。 | [secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | 此規則可確保 AWS Secrets Manager 秘密已根據輪換排程成功輪換。定期輪換密碼可縮短密碼處於作用中的時間，並可能降低密碼洩露時所造成的業務影響。 | 
| (CE-3)：停用帳戶 | 當帳戶發生下列情況時，在 120 天內停用帳戶：a. 已過期；b. 不再與使用者或個人相關聯；c. 違反組織政策；或 d. 未使用達 120 天 (若為非特殊權限帳戶) 或 60 天 (若為特殊權限帳戶) | [iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰，協助您取得存取許可和授權。如果識別出這些未使用的憑證，建議您停用和/或移除憑證，因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值：90)。實際值應反映貴組織的政策。 | 
| (CE-12) 監控帳戶的非典型使用情況 | 監控系統帳戶中是否有機構定義的非典型使用情況；以及向機構定義的人員或角色報告系統帳戶的非典型使用情況。 | [guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [iam-customer-policy-blocked-kms-actions](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html) | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值： kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [iam-policy-no-statements-with-admin-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，限制政策在「資源」：「\*」上包含「效果」：「允許」與「動作」：「\*」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [iam-policy-no-statements-with-full-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html) | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰，協助您取得存取許可和授權。如果識別出這些未使用的憑證，建議您停用和/或移除憑證，因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值：90)。實際值應反映貴組織的政策。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [opensearch-access-control-enabled](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html) | 確保您的 Amazon OpenSearch Service 網域中啟用了精細存取控制。精細存取控制可提供增強的授權機制，以實現對 Amazon OpenSearch Service 網域的最低權限存取。其允許對網域進行角色型存取控制，並提供索引、文件和欄位層級安全、OpenSearch Service 儀表板多重租用的支援，以及 OpenSearch Service 和 Kibana 的 HTTP 基本驗證。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html) | 如果 AWS Secrets Manager 中存在未使用的登入資料，您應該停用和/或移除登入資料，因為這可能會違反最低權限的原則。此規則允許您將值設定為 unusedForDays (Config 預設值：90)。實際值應反映貴組織的政策。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [codebuild-project-environment-privileged-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html) | 為了協助實作最低權限原則，請確保 Amazon CodeBuild 專案環境未啟用特殊權限模式。您應停用此設定，以防止意外存取 Docker API 以及容器的基礎硬體。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [ec2-instance-profile-attached](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-profile-attached.html) | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [ecs-containers-nonprivileged](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html) | 若要協助實作最低權限原則，則 Amazon Elastic Container Service (Amazon ECS) 任務定義不應啟用提升的權限。當此參數為 true 時，容器在主機容器執行個體上會有更高的權限 (類似超級使用者)。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [ecs-containers-readonly-access](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html) | 啟用 Amazon Elastic Container Service (ECS) 容器的唯讀存取權，可協助遵守最低權限原則。此選項可以減少攻擊媒介，因為除非具有明確的讀寫許可，否則無法修改容器執行個體的檔案系統。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [ecs-task-definition-nonroot-user](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-nonroot-user.html) | 為了協助實作最低權限原則，請確保已指定非根使用者來存取 Amazon Elastic Container Service (Amazon ECS) 任務定義。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [efs-access-point-enforce-user-identity](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html) | 為了協助實作最低權限原則，請確保已為 Amazon Elastic File System (Amazon EFS) 啟用使用者強制執行。啟用後，Amazon EFS 會將 NFS 用戶端的使用者和群組 ID 取代為所有檔案系統操作之存取點上設定的身分，並且僅授予對此強制使用者身分的存取權。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [emr-kerberos-enabled](https://docs.aws.amazon.com/config/latest/developerguide/emr-kerberos-enabled.html) | 透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | 
| AC-6 最低權限 | 運用最低權限原則，僅授予使用者 (或代表使用者處理的程序) 完成指派組織任務所需的存取權。 | [iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值： true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值： true)、 RequireSymbols (AWS 基礎安全最佳實務值： true)、 RequireNumbers (AWS 基礎安全最佳實務值： true)、 MinimumPasswordLength AWS （基本安全最佳實務值： 14)、 PasswordReusePrevention AWS （基礎安全最佳實務值： 24)、 和 MaxPasswordAge AWS （基礎安全最佳實務值： 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | 啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | 確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA，以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | 確保為根使用者啟用硬體 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | 確保根使用者已啟用 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [cloud-trail-cloud-watch-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [elasticsearch-logs-to-cloudwatch](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html) | 確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶 、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [opensearch-logs-to-cloudwatch](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html) | 確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [elb-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [rds-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html) | 若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS 防火牆管理員和 AWS 合作夥伴解決方案。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [wafv2-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html) | 為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | 當指標超過閾值達到指定的評估期間數，Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值：True)、insufficientDataActionRequired (Config 預設值：True)、okActionRequired (Config 預設值：False) 皆有值。實際值應反映您環境的警示動作。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | 為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。 | 
| AC-17：遠端存取 | 為允許的每種遠端存取類型，建立和記載使用限制、組態/連線要求和實作指引；以及授權系統的每種遠端存取類型，再允許此連線。 | [redshift-enhanced-vpc-routing-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html) | 增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後，您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。 | 
| AT-1：意識和培訓 |  為系統使用者 (包括管理員、高階主管和承包商) 提供安全和隱私素養培訓 | security-awareness-program-exists (程序檢查) | 為貴組織建立並維護安全意識計劃。安全意識計畫可教育員工如何保護其組織免於遭受各種安全缺口或事件侵害。 | 
| AU-2：稽核事件 |  識別系統能夠記錄以支援稽核功能的事件類型 | audit-log-policy-exists (程序檢查) | 建立並維護稽核日誌管理原則，以定義組織的日誌記錄需求。這包括但不限於檢閱和保留稽核日誌。 | 
| AU-16：跨組織稽核日誌記錄 | 跨組織邊界傳輸機稽核資訊時，運用機構定義的方法在外部組織之間協調機構定義的稽核資訊。 | audit-log-policy-exists (程序檢查) | 建立並維護稽核日誌管理原則，以定義組織的日誌記錄需求。這包括但不限於檢閱和保留稽核日誌。 | 
| CA-7：持續監控 | 根據組織層級的持續監控策略，制定系統層級的持續監控策略，並實作持續監控：建立要加以監控的機構定義指標；根據持續監控策略進行持續控制評估；根據持續監控策略對系統和組織定義的指標進行持續監控；將控制評估和監控所產生的資訊相互關聯並進行分析；採取回應行動，以解決控制評估和監控資訊的分析結果；並至少每年向機構定義的人員報告系統的安全和隱私狀態。 | [securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS 防火牆管理員和 AWS 合作夥伴解決方案。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [aurora-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Aurora 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [backup-plan-min-frequency-and-min-retention-check](https://docs.aws.amazon.com/config/latest/developerguide/backup-plan-min-frequency-and-min-retention-check.html) | 為了協助處理資料備份程序，請確保您的 AWS 備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值：1)、requiredRetentionDays (Config 預設值：35) 以及 requiredFrequencyUnit (Config 預設值：days) 參數。實際值應反映貴組織的要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [backup-recovery-point-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html) | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [backup-recovery-point-manual-deletion-disabled](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 確保您的 AWS 備份復原點具有連接的資源型政策，以防止刪除復原點。使用資源型政策防止刪除復原點，有助於防止意外或故意刪除。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [backup-recovery-point-minimum-retention-check](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-minimum-retention-check.html) | 為了協助處理資料備份程序，請確保您的 AWS 備份復原點已設定最短保留期間。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredRetentionDays (Config 預設值：35) 參數。實際值應反映貴組織的要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照，並備份整個資料庫執行個體。系統可讓您設定特定保留期，以符合您的恢復能力要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [dynamodb-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-in-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [dynamodb-pitr-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原，藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [ebs-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/ebs-in-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [ec2-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [efs-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計劃的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | 啟用自動備份後，Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗，您可以建立新叢集，從最新的備份還原您的資料。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [fsx-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/fsx-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon FSx 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [rds-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/rds-in-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 AWS 備份計劃的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [rds-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Relational Database Service (Amazon RDS) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [redshift-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html) | 請確保 Amazon Redshift 叢集具有自動快照，以利處理資料備份。當叢集的自動快照已啟用時，Redshift 將定期為該叢集拍攝快照。根據預設，Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照，以先發生者為準。 | 
| CP-9：系統備份 | a. 每週對系統中包含的使用者層級資訊進行備份，包括安全相關文件；b. 每週對系統中包含的系統層級資訊進行備份；c. 每週對系統文件進行備份，包括安全和隱私相關文件；以及 d. 保護備份資訊的機密性、完整性和可用性。 | [s3-bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製，以協助確保維護資料可用性。 | 
| IA-2：識別與驗證 (組織使用者) (CE-1) 特殊權限帳戶的多重要素驗證 | 實作多重要素驗證以存取特殊權限帳戶 | [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | 確保根使用者已啟用 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| IA-2：識別與驗證 (組織使用者) (CE-1) 特殊權限帳戶的多重要素驗證 | 實作多重要素驗證以存取特殊權限帳戶 | [root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | 確保為根使用者啟用硬體 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| IA-2：識別與驗證 (組織使用者) (CE-2) 非特殊權限帳戶的多重要素驗證 | 實作多重要素驗證以存取非特殊權限帳戶。 | [mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | 確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA，以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。 | 
| IA-5：驗證器管理：(CE-1) 密碼型驗證：若要進行密碼型驗證 | 強制執行以下組成和複雜性規則：1. 強制執行十四 (14) 個字元的密碼長度下限。2. 強制執行最低密碼複雜性，以包含數字、大寫字母、小寫字母和特殊字元的組合。3. 選擇要使用的新密碼時，強制至少變更一 (1) 個字元。4. 僅儲存和傳輸以密碼編譯方式保護的密碼。5. 強制執行密碼存留期限制：i. 最少一 (1) 天，最多 90 天。ii. 服務帳戶密碼應在 366 天 (含) 內到期。 | [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值： true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值： true)、 RequireSymbols (AWS 基礎安全最佳實務值： true)、 RequireNumbers (AWS 基礎安全最佳實務值： true)、 MinimumPasswordLength AWS （基本安全最佳實務值： 14)、 PasswordReusePrevention AWS （基礎安全最佳實務值： 24)、 和 MaxPasswordAge AWS （基礎安全最佳實務值： 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | 
| PM-5：系統清查 | 持續制定和更新組織系統的清查。 | [ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | 使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本，以及有關您環境的其他詳細資訊。 | 
| PM-5：系統清查 | 持續制定和更新組織系統的清查。 | [ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會將組態狀態指派給受管執行個體，並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態的基準，以及環境的其他詳細資訊。 | 
| PM-5：系統清查 | 持續制定和更新組織系統的清查。 | [vpc-network-acl-unused-check](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html) | 此規則可確保正在使用 Amazon Virtual Private Cloud (VPC) 網路存取控制清單。監控未使用的網路存取控制清單，可協助您的環境進行準確的清查和管理。 | 
| PM-5：系統清查 | 持續制定和更新組織系統的清查。 | [ec2-volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | 此規則可確保在執行個體終止時，連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store 磁碟區會被標記為待刪除。如果 Amazon EBS 磁碟區在其連接的執行個體終止時未予以刪除，則可能會違反最少功能的概念。 | 
| RA-5：漏洞監控和掃描 | 在將新的資訊系統置於機構網路之前，每三十 (30) 天監控並掃描系統及託管應用程式中的漏洞以確認修復動作，並在找到及報告可能影響系統/應用程式的新漏洞時進行監控和掃描 | vuln-scans-performed (程序檢查) | 確保根據您的合規要求執行漏洞掃描。貴組織應定義掃描的頻率、使用的工具以及結果的使用方式。 | 
| SA-10：開發人員組態管理 (e.) | 追蹤系統、元件或服務內的安全缺陷和缺陷解決方案，並向 [指派: 組織定義的人員] 報告調查結果。 | [guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | 
| SA-10：開發人員組態管理 (e.) | 追蹤系統、元件或服務內的安全缺陷和缺陷解決方案，並向 [指派: 組織定義的人員] 報告調查結果。 | [guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | Amazon GuardDuty 依嚴重性 (低、中和高) 分類調查結果，協助您了解事件的影響。您可以使用這些分類決定修復策略和優先順序。此規則可讓您根據組織政策的要求，為未封存的調查結果選擇性地設定 daysLowSev (Config 預設值：30)、daysMediumSev (Config 預設值：7) 及 daysHighSev (Config 預設值：1)。 | 
| SA-10：開發人員組態管理 (e.) | 追蹤系統、元件或服務內的安全缺陷和缺陷解決方案，並向 [指派: 組織定義的人員] 報告調查結果。 | [securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS 防火牆管理員和 AWS 合作夥伴解決方案。 | 
| SA-10：開發人員組態管理 (a) (c.) | 在系統、元件或服務設計、開發、實作、操作期間執行組態管理；只對系統、元件或服務實作組織核准的變更； | [ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | 使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本，以及有關您環境的其他詳細資訊。 | 
| SC-4：共用系統資源中的資訊 | 防止來自共用系統資源的未經授權和意外資訊傳輸 | [ec2-volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | 此規則可確保在執行個體終止時，連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store 磁碟區會被標記為待刪除。如果 Amazon EBS 磁碟區在其連接的執行個體終止時未予以刪除，則可能會違反最少功能的概念。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開，藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開，藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) | 確保 Amazon Redshift 叢集不公開，以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | 透過確保 EBS 快照不可公開還原來管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [ec2-instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) | 確保 AWS Lambda 函數無法公開存取，藉此管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [s3-account-level-public-access-blocks-periodic](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值：True)、blockPublicPolicy (Config 預設值：True)、blockPublicAcls (Config 預設值：True) 以及 restrictPublicBuckets 參數 (Config 預設值：True)。實際值應反映貴組織的政策。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [s3-bucket-policy-grantee-check](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy-grantee-check.html) | 啟用 s3\_ bucket\_policy\_grantee\_check 來管理對 AWS 雲端的存取。此規則會檢查 Amazon S3 儲存貯體授予的存取權是否受到您提供的任何 AWS 委託人、聯合身分使用者、服務委託人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [sagemaker-notebook-no-direct-internet-access](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取，藉此管理 AWS 對雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。 | 
| SC-7：邊界防護 | 在系統的外部邊界和系統內的關鍵內部邊界監控和控制通訊；實作與內部組織網路分開之可公開存取的系統元件子網路；以及只能透過受管介面連線至外部網路或資訊系統，這些介面包含依照組織安全架構安排的邊界防護裝置。 | [vpc-sg-open-only-to-authorized-ports](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制，來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。 | 
| SC-7：邊界防護 (CE-9) 限制具威脅性的傳出通訊流量 | 偵測對外部系統構成威脅的傳出通訊流量並加以拒絕；以及稽核與遭拒通訊相關的內部使用者身分。 | [wafv2-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html) | 為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。 | 
| SC-7：邊界防護 (CE-9) 限制具威脅性的傳出通訊流量 | 偵測對外部系統構成威脅的傳出通訊流量並加以拒絕；以及稽核與遭拒通訊相關的內部使用者身分。 | [alb-waf-enabled](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html) | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。 | 
| SC-7：邊界防護 (CE-9) 限制具威脅性的傳出通訊流量 | 偵測對外部系統構成威脅的傳出通訊流量並加以拒絕；以及稽核與遭拒通訊相關的內部使用者身分。 | [api-gw-associated-with-waf](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html) | AWS WAF 可讓您設定一組規則 （稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊 | 
| SC-7：邊界防護 (IRS 定義) | 機構應在信任邊界實作和管理邊界防護 (通常使用防火牆)。每個信任邊界都應受到監控，並應控制跨每個邊界進行的通訊。 | [netfw-policy-rule-group-associated](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html) |  AWS Network Firewall 政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包與流量流程，並定義預設流量處理。 | 
| SC-7：邊界防護 (IRS 定義) | 機構應在信任邊界實作和管理邊界防護 (通常使用防火牆)。每個信任邊界都應受到監控，並應控制跨每個邊界進行的通訊。 | [netfw-stateless-rule-group-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html) |  AWS Network Firewall 規則群組包含規則，定義防火牆如何處理 VPC 中的流量。防火牆政策中存在的空白無狀態規則群組不會處理流量。 | 
| SC-8：傳輸機密性與完整性 (CE-1) 密碼編譯保護 | 在傳輸過程中實作密碼編譯機制，以防止未經授權洩漏資訊，並偵測資訊變更。 | [alb-http-to-https-redirection-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | 為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-8：傳輸機密性與完整性 (CE-1) 密碼編譯保護 | 在傳輸過程中實作密碼編譯機制，以防止未經授權洩漏資訊，並偵測資訊變更。 | [elasticsearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html) | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-8：傳輸機密性與完整性 (CE-1) 密碼編譯保護 | 在傳輸過程中實作密碼編譯機制，以防止未經授權洩漏資訊，並偵測資訊變更。 | [elb-tls-https-listeners-only](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html) | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-8：傳輸機密性與完整性 (CE-1) 密碼編譯保護 | 在傳輸過程中實作密碼編譯機制，以防止未經授權洩漏資訊，並偵測資訊變更。 | [opensearch-https-required](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html) | 由於可能存在敏感資料，因此為了協助保護傳輸中的資料，請確保已針對 Amazon OpenSearch Service 網域的連線啟用 HTTPS。 | 
| SC-8：傳輸機密性與完整性 (CE-1) 密碼編譯保護 | 在傳輸過程中實作密碼編譯機制，以防止未經授權洩漏資訊，並偵測資訊變更。 | [opensearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html) | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-8：傳輸機密性與完整性 (CE-1) 密碼編譯保護 | 在傳輸過程中實作密碼編譯機制，以防止未經授權洩漏資訊，並偵測資訊變更。 | [redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-8：傳輸機密性與完整性 (CE-1) 密碼編譯保護 | 在傳輸過程中實作密碼編譯機制，以防止未經授權洩漏資訊，並偵測資訊變更。 | [s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | 為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-12：密碼編譯金鑰建立與管理 | 當機構在系統中採用密碼編譯時，必須根據下列金鑰管理要求建立和管理密碼編譯金鑰：NIST SP 800-57，關於金鑰產生、分佈、儲存、存取和銷毀的金鑰管理建議。 | [kms-cmk-not-scheduled-for-deletion](https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html) | 為了協助保護靜態資料，請確保不會在 AWS Key Management Service (AWS KMS) 中排定刪除必要的客戶主金鑰 (CMKs)。因為刪除金鑰有時為必要，而這個規則可協助檢查所有排程要刪除的金鑰，以防無意中排程刪除金鑰。 | 
| SC-12：密碼編譯金鑰建立與管理 | 當機構在系統中採用密碼編譯時，必須根據下列金鑰管理要求建立和管理密碼編譯金鑰：NIST SP 800-57，關於金鑰產生、分佈、儲存、存取和銷毀的金鑰管理建議。 | [cmk-backing-key-rotation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html) | 啟用金鑰輪換，以確保金鑰在加密期間結束後輪換。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) | 由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [alb-http-to-https-redirection-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | 為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [api-gw-cache-enabled-and-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | 為了協助保護靜態資料，請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [elasticsearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html) | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [elb-tls-https-listeners-only](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html) | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [opensearch-https-required](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html) | 由於可能存在敏感資料，因此為了協助保護傳輸中的資料，請確保已針對 Amazon OpenSearch Service 網域的連線啟用 HTTPS。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [opensearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html) | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [backup-recovery-point-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html) | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [dynamodb-table-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-encrypted-kms.html) | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。根據預設，DynamoDB 資料表會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | 為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [kinesis-stream-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Kinesis Streams 啟用加密功能。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service 網域啟用加密功能。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [redshift-cluster-kms-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html) | 為了協助保護靜態資料，請確定您的 Amazon Redshift 叢集已啟用 AWS Key Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [s3-default-encryption-kms](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html) | 為了協助保護靜態資料，請確定已啟用 AWS Secrets Manager 秘密的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | 為了協助保護靜態敏感資料，請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [elasticsearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service (OpenSearch Service) 網域啟用加密功能。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | 為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | 為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | 為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | 為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [sagemaker-endpoint-configuration-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | 為了協助保護靜態資料，請確定已啟用 SageMaker 端點的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 端點中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [sagemaker-notebook-instance-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-kms-key-configured.html) | 為了協助保護靜態資料，請確定已啟用 SageMaker 筆記本的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 筆記本中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-13：密碼編譯保護 | 實作以下每個指定密碼編譯用途所需的密碼編譯類型：最新的 FIPS-140 驗證加密機制；NIST 800-52；Transport Layer Security (TLS) 實作的選擇、設定和使用指南；傳輸中加密 (承載加密)。禁止將 SHA-1 用於數位簽章。 | [sns-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | 為了協助保護靜態資料，請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用 AWS Key Management Service (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-23：工作階段真確性 | 保護通訊工作階段的真確性。 | [ec2-imdsv2-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html) | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2，您可以實作這些控制以限制執行個體中繼資料的變更。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [api-gw-cache-enabled-and-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | 為了協助保護靜態資料，請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [backup-recovery-point-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html) | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | 由於可能存在敏感資料，且為了協助保護靜態資料，請確保已啟用 AWS CloudTrail 追蹤的加密。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | 為了協助保護靜態敏感資料，請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [sns-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | 為了協助保護靜態資料，請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用 AWS Key Management Service (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [dynamodb-table-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-encrypted-kms.html) | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。根據預設，DynamoDB 資料表會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | 為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [elasticsearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service (OpenSearch Service) 網域啟用加密功能。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [kinesis-stream-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Kinesis Streams 啟用加密功能。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | 由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service 網域啟用加密功能。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | 為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | 為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [redshift-cluster-kms-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html) | 為了協助保護靜態資料，請確定您的 Amazon Redshift 叢集已啟用 AWS Key Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | 為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [s3-default-encryption-kms](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [sagemaker-endpoint-configuration-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | 為了協助保護靜態資料，請確定已啟用 SageMaker 端點的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 端點中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [sagemaker-notebook-instance-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-kms-key-configured.html) | 為了協助保護靜態資料，請確定已啟用 SageMaker 筆記本的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 筆記本中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SC-28：保護靜態資訊 (CE-1) 密碼編譯保護 | 實作密碼編譯機制，以防止未經授權洩漏和修改終端使用者運算系統 (例如桌上型電腦、筆記型電腦、行動裝置、可攜式和抽取式存放裝置) 上非揮發性儲存中的靜態 FTI。 | [secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html) | 為了協助保護靜態資料，請確定已啟用 AWS Secrets Manager 秘密的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| SI-2：瑕疵修復 (IRS 定義)  | 代理機構應確保在每天開機並連線至代理機構網路時，檢查工作站 （如政策所定義，包括使用 GFE 工作站的遠端連線），以確保已套用最新的代理機構核准修補程式，並視需要套用任何缺少或新的修補程式，或在每 24 小時後檢查一次 （週末、假日等除外） | [ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | 使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本，以及有關您環境的其他詳細資訊。 | 
| SI-2：瑕疵修復 (IRS 定義)  | 代理機構應確保在每天開機並連線至代理機構網路時，檢查工作站 （如政策所定義，包括使用 GFE 工作站的遠端連線），以確保已套用最新的代理機構核准修補程式，並視需要套用任何缺少或新的修補程式，或在每 24 小時後檢查一次 （週末、假日等除外） | [ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會將組態狀態指派給受管執行個體，並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態的基準，以及環境的其他詳細資訊。 | 
| SI-2：瑕疵修復 (IRS 定義)  | 代理機構應確保在每天開機並連線至代理機構網路時，檢查工作站 （如政策所定義，包括使用 GFE 工作站的遠端連線），以確保已套用最新的代理機構核准修補程式，並視需要套用任何缺少或新的修補程式，或在每 24 小時後檢查一次 （週末、假日等除外） | [ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | 
| SI-2：瑕疵修復 (IRS 定義)  | 代理機構應確保在每天開機並連線至代理機構網路時，檢查工作站 （如政策所定義，包括使用 GFE 工作站的遠端連線），以確保已套用最新的代理機構核准修補程式，並視需要套用任何缺少或新的修補程式，或在每 24 小時後檢查一次 （週末、假日等除外） | [ecs-fargate-latest-platform-version](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html) | 系統會自動為您的 AWS Fargate 任務部署安全更新和修補程式。如果發現影響 AWS Fargate 平台版本的安全問題，請 AWS 修補平台版本。為了協助管理執行 AWS Fargate 的 Amazon Elastic Container Service (ECS) 任務，請更新您的服務獨立任務以使用最新的平台版本。 | 
| SI-2：瑕疵修復 (IRS 定義)  | 代理機構應確保在每天開機並連線至代理機構網路時，檢查工作站 （如政策所定義，包括使用 GFE 工作站的遠端連線），以確保已套用最新的代理機構核准修補程式，並視需要套用任何缺少或新的修補程式，或在每 24 小時後檢查一次 （週末、假日等除外） | [elastic-beanstalk-managed-updates-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html) | 針對 Amazon Elastic Beanstalk 環境啟用受管平台更新，可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統安全的最佳實務。 | 
| SI-2：瑕疵修復 (IRS 定義)  | 代理機構應確保在每天開機並連線至代理機構網路時，檢查工作站 （如政策所定義，包括使用 GFE 工作站的遠端連線），以確保已套用最新的代理機構核准修補程式，並視需要套用任何缺少或新的修補程式，或在每 24 小時後檢查一次 （週末、假日等除外） | [rds-automatic-minor-version-upgrade-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html) | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級，以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新，其中可能包括安全修補程式和錯誤修正。 | 
| SI-4：系統監控 | 組織：a. 監控資訊系統以偵測：1. 根據 [指派: 組織定義的監控目標] 劃分的攻擊和潛在攻擊指標；以及 2. 未經授權的本機、網路和遠端連線；b. 透過 [指派: 組織定義的技術和方法] 識別未經授權的資訊系統使用；c. 部署監控裝置：1. 在資訊系統內以策略方式收集組織決定的重要資訊；以及 2. 在系統內的特定位置，追蹤組織感興趣的特定交易類型；d. 保護從入侵監控工具取得的資訊，以防止未經授權的存取、修改和刪除； | [guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | 
| SI-4：系統監控 | 組織：a. 監控資訊系統以偵測：1. 根據 [指派: 組織定義的監控目標] 劃分的攻擊和潛在攻擊指標；以及 2. 未經授權的本機、網路和遠端連線；b. 透過 [指派: 組織定義的技術和方法] 識別未經授權的資訊系統使用；c. 部署監控裝置：1. 在資訊系統內以策略方式收集組織決定的重要資訊；以及 2. 在系統內的特定位置，追蹤組織感興趣的特定交易類型；d. 保護從入侵監控工具取得的資訊，以防止未經授權的存取、修改和刪除； | [securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS 防火牆管理員和 AWS 合作夥伴解決方案。 | 
| SI-4：系統監控 | 組織：a. 監控資訊系統以偵測：1. 根據 [指派: 組織定義的監控目標] 劃分的攻擊和潛在攻擊指標；以及 2. 未經授權的本機、網路和遠端連線；b. 透過 [指派: 組織定義的技術和方法] 識別未經授權的資訊系統使用；c. 部署監控裝置：1. 在資訊系統內以策略方式收集組織決定的重要資訊；以及 2. 在系統內的特定位置，追蹤組織感興趣的特定交易類型；d. 保護從入侵監控工具取得的資訊，以防止未經授權的存取、修改和刪除； | [cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | 當指標超過閾值達到指定的評估期間數，Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值：True)、insufficientDataActionRequired (Config 預設值：True)、okActionRequired (Config 預設值：False) 皆有值。實際值應反映您環境的警示動作。 | 
| SI-4：系統監控 | 組織：a. 監控資訊系統以偵測：1. 根據 [指派: 組織定義的監控目標] 劃分的攻擊和潛在攻擊指標；以及 2. 未經授權的本機、網路和遠端連線；b. 透過 [指派: 組織定義的技術和方法] 識別未經授權的資訊系統使用；c. 部署監控裝置：1. 在資訊系統內以策略方式收集組織決定的重要資訊；以及 2. 在系統內的特定位置，追蹤組織感興趣的特定交易類型；d. 保護從入侵監控工具取得的資訊，以防止未經授權的存取、修改和刪除； | [cloud-trail-cloud-watch-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | 
| SI-4：系統監控 | 組織：a. 監控資訊系統以偵測：1. 根據 [指派: 組織定義的監控目標] 劃分的攻擊和潛在攻擊指標；以及 2. 未經授權的本機、網路和遠端連線；b. 透過 [指派: 組織定義的技術和方法] 識別未經授權的資訊系統使用；c. 部署監控裝置：1. 在資訊系統內以策略方式收集組織決定的重要資訊；以及 2. 在系統內的特定位置，追蹤組織感興趣的特定交易類型；d. 保護從入侵監控工具取得的資訊，以防止未經授權的存取、修改和刪除； | [ec2-instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | 啟用此規則可協助改善 Amazon EC2 主控台上的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體監控，並顯示執行個體以 1 分鐘為區間的監控圖形。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [elb-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [opensearch-audit-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html) | 確保 Amazon OpenSearch Service 網域上已啟用稽核日誌記錄。稽核日誌記錄可讓您追蹤 OpenSearch 網域上的使用者活動，包括驗證成功與失敗、對 OpenSearch 的請求、索引變更以及傳入的搜尋查詢。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [redshift-audit-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-audit-logging-enabled.html) | 若要擷取 Amazon Redshift 叢集上的連線和使用者活動相關資訊，請確保已啟用稽核日誌記錄。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [wafv2-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html) | 為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [cloud-trail-cloud-watch-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶 、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [cloud-trail-log-file-validation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後，日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案，而無需偵測。 | 
| SI-4：系統監控 (IRS 定義) | 所有網際網路存取點/入口網站都應擷取傳入和傳出流量標頭資訊並保留至少一年，但不包括已核准的網際網路「匿名」連線，因為這些連線可能是由機構 CISO 核准。 | [cw-loggroup-retention-period-check](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html) | 確保為日誌群組保留最短的事件日誌資料持續時間，以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料，就很難重建和識別潛在的惡意事件。 | 
| SI-7：軟體、韌體和資訊完整性 | 使用完整性驗證工具來偵測下列軟體、韌體和資訊的未經授權變更：系統核心、驅動程式、韌體 （例如 BIOS、UEFI)、軟體 （例如作業系統、應用程式、中介軟體） 和安全屬性。 | [ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | 使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本，以及有關您環境的其他詳細資訊。 | 
| SI-7：軟體、韌體和資訊完整性 | 使用完整性驗證工具來偵測下列軟體、韌體和資訊的未經授權變更：系統核心、驅動程式、韌體 （例如 BIOS、UEFI)、軟體 （例如作業系統、應用程式、中介軟體） 和安全屬性。 | [ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | 
| SI-7：軟體、韌體和資訊完整性 | 使用完整性驗證工具來偵測下列軟體、韌體和資訊的未經授權變更：系統核心、驅動程式、韌體 （例如 BIOS、UEFI)、軟體 （例如作業系統、應用程式、中介軟體） 和安全屬性。 | [cloud-trail-log-file-validation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後，日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案，而無需偵測。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照，並備份整個資料庫執行個體。系統可讓您設定特定保留期，以符合您的恢復能力要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [dynamodb-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-in-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [dynamodb-pitr-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原，藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [dynamodb-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon DynamoDB 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [ebs-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/ebs-in-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [ebs-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Elastic Block Store (Amazon EBS) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [ec2-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [efs-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計劃的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [efs-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/efs-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計劃的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | 啟用自動備份後，Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗，您可以建立新叢集，從最新的備份還原您的資料。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [fsx-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/fsx-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon FSx 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [rds-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/rds-in-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 AWS 備份計劃的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [rds-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Relational Database Service (Amazon RDS) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [redshift-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html) | 請確保 Amazon Redshift 叢集具有自動快照，以利處理資料備份。當叢集的自動快照已啟用時，Redshift 將定期為該叢集拍攝快照。根據預設，Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照，以先發生者為準。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [aurora-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-protected-by-backup-plan.html) | 為了協助處理資料備份程序，請確保您的 Amazon Aurora 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [backup-plan-min-frequency-and-min-retention-check](https://docs.aws.amazon.com/config/latest/developerguide/backup-plan-min-frequency-and-min-retention-check.html) | 為了協助處理資料備份程序，請確保您的 AWS 備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值：1)、requiredRetentionDays (Config 預設值：35) 以及 requiredFrequencyUnit (Config 預設值：days) 參數。實際值應反映貴組織的要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [backup-recovery-point-manual-deletion-disabled](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | 確保您的 AWS 備份復原點具有連接的資源型政策，以防止刪除復原點。使用資源型政策防止刪除復原點，有助於防止意外或故意刪除。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [backup-recovery-point-minimum-retention-check](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-minimum-retention-check.html) | 為了協助處理資料備份程序，請確保您的 AWS 備份復原點已設定最短保留期間。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredRetentionDays (Config 預設值：35) 參數。實際值應反映貴組織的要求。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [s3-lifecycle-policy-check](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html) | 請確保設定 Amazon S3 生命週期政策，以協助定義要讓 Amazon S3 在物件生命週期內採取的動作 (例如，將物件轉移至另一個儲存類別、封存物件，或在指定期限後刪除物件)。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [s3-version-lifecycle-policy-check](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html) | 請確保設定 Amazon S3 生命週期政策，以協助定義要讓 Amazon S3 在物件生命週期內採取的動作 (例如，將物件轉移至另一個儲存類別、封存物件，或在指定期限後刪除物件)。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [s3-bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 | 
| SI-12：資訊管理與保留 | 根據適用的法律、行政命令、指令、法規、政策、標準、準則和營運要求，管理和保留系統內的資訊以及系統輸出的資訊。 | [s3-bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體預設已啟用鎖定。由於 S3 儲存貯體中可能存在靜態敏感資料，因此請強制執行靜態物件鎖定以協助保護該資料。 | 

## 範本
<a name="irs-1075-conformance-pack-sample"></a>

此範本可在 GitHub 上取得：《[IRS 1075 的操作最佳實務](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-IRS-1075.yaml)》。