1、添加AWS Config托管规则各项参数
**名称:**规则名称唯一,最多128个字符,不允许使用特殊字符或空格
**描述:**对规则功能的相关介绍
**托管规则名称:**Config对应的用于评估AWS资源是否符合规则的Lambda函数。
触发器:
触发器类型:” 配置更改 “ 代表指定的AWS资源发生改变时触发规则;” 定期 “ 代表定时执行规则
更改范围:
**资源:**这一项可以选择执行该规则的AWS资源
**标签:**此项可以基于特定标签的key-value执行该规则
**规则参数:**通过设置详细的规则参数,可以制定更详细的评估资源的相关参数。
**修正操作:**当AWS资源通过评估之后会有合规与不合规资源,如果指定了特定的修正操作,这些操作会被执行到相应的AWS资源
2、AWS Config官方现有规则
序号 Config托管规则名称 功能描述 相关说明 1 access_key_rotated 该规则指定一个规则参数maxAccessKeyAge(用来指定一个时间),如果访问密钥没有在该参数指定的时间内进行轮换,那么这个规则就为不合规 2 dynamodb-pitr-enabled 检查是否为DynamoDB(NoSQL)的表开启了基于时间点恢复,如果没有启用,那么该规则就为不合规 AWS DynamoDB(NoSQL) 3 dynamodb-table-encrypted-kms 检查DynamoDB表是否使用了AWS KMS加密,如果未使用,该规则就不合规;同时该规则会设置一个可选参数kmsKeyArns,如果此项参数填入的是不合规的值,该规则也会显示不合规 Amazon DynamoDB被设计成用来托管的NoSQL数据库服务 4 ec2-ebs-encryption-by-default 检查是否对EBS启用了加密,如果未启用,该规则就为不合规 EBS(Elastic Block Store) 5 rds-snapshot-encrypted 检查RDS数据库快照是否已加密,如果未加密,该规则就为不合规 6 redshift-require-tls-ssl 检查Redshift集群是否需要TLS/SSL加密才能连接到SQL客户端 数据仓库是什么 数据库与数据仓库逻辑上没有区别,但数据仓库是依照分析需求、分析维度、分析指标进行设计;数据库则是针对一个应用而设计的。Redshift则是AWS的一款云数据仓库 7 s3-bucket-default-lock-enabled 检查S3存储桶是否启用了锁定,如果锁定未启用,该规则则为不合规 S3锁定可以在客户定义的保留期内阻止删除对象版本 8 s3-default-encryption-kms 检查S3是否使用了AWS KMS加密,如果未使用,则该规则为不合规 9 securityhub-enabled 检查是否为AWS账户启用了AWS Security Hub,如果未启用,则规则为不合规的。 AWS Security Hub用于收集各种资源的状态及事件,用于持续的审计及合规检查。也可以结合aws的lambda 实现联动对事件进行响应 10 sns-encrypted-kms 检查SNS是否使用AWS KMS加密,如果未使用,该规则就为不合规的,且当该规则的规则参数kmsKeyIds中的KMS密钥不存在时,也为不合规 11 alb-http-to-https-redirection-check 检查负载均衡器的所有HTTP侦听器是否都设置了HTTPS重定向,只要有一个HTTP侦听器没有设置,该规则即为不合规的 12 api-gw-cache-enabled-and-encrypted 检查API Gateway中的所有方法是否已启用并加密缓存,如果其中的方法均未配置为缓存或缓存未加密,该规则为不合规的。 AWS API Gateway是一种完全托管的帮助开发者轻松创建、发布、维护、监控、和保护任意规模的API的服务。可以在 AWS API Gateway 中启用 API 缓存以缓存终端节点的响应。借助缓存,可以减少向终端节点发起的调用数量,同时减少向 API 发出的请求的延迟。 13 api-gw-endpoint-type-check 该规则有一个参数endpointConfigurationType,该参数可以指定终端节点类型,如果REST API与其不匹配,则该规则为不合规 API Gateway 中的 REST API 是与后端 HTTP 终端节点、Lambda 函数或其他 AWS 服务集成的资源与方法的集合。API Gateway REST API 使用请求/响应模型,其中客户端将请求发送到服务,服务将同步回应。对于许多依赖于同步通信的不同类型的应用程序,这种模型类型适用。 14 api-gw-execution-logging-enabled 如果API Gateway阶段中的方法未启用日志记录,则该规则为不合规;另外该规则有一个可选规则参数loggingLevel,用以指定日志的级别,如果该参数值既不是ERROR也不是INFO,该规则就为不合规, 15 approved-amis-by-id 该规则有一个规则参数amiIds(最多包含10个),检查运行的实例是否使用了amiIds中指定的AMI ID,如果未使用则该规则为不合规的 AMI ( AWS Machine Image ) 16 approved-amis-by-tag 该规则通过一个规则参数amisByTagKeyAndValue指定一个tag的key-value列表,如果正在运行的实例的AMI的标签不在该列表中,则该规则为不合规 17 autoscaling-group-elb-healthcheck-required 检测与负载均衡器关联的Auto Scaling组是否正在使用Elastic Load Balancing的健康状况检查,未使用的话该规则即为不合规的 Auto Scaling自动扩展大小 18 cloudformation-stack-notification-check 检查CloudFormation堆栈是否正在向指定的SNS主题(通过规则参数snsTopic X发送事件通知),无则该规则为不合规 19 cloud-trail-cloud-watch-logs-enabled 检查AWS CloudTrail是否配置了将日志发送到CloudWatch Logs中(即CloudTrail的属性CloudWatchLogsLogGroupArn是否为空),否则该规则为空 AWS CloudTrail 是一种 Web 服务,可记录在用户账户上进行的活动,并将日志文件传送至用户的 Amazon S3 存储桶。 20 cloudtrail-enabled 检查用户的AWS账户中是否启用了AWS CloudTrail 21 cloudtrail-s3-dataevents-enabled 检查是否至少有一条AWS CloudTrail跟踪记录了所有S3存储的数据事件,如果未配置则该规则为不合规 22* cloudwatch-alarm-action-check 检查 CloudWatch 警报是否至少启用了一个警报操作、一个 INSUFFICIENT_DATA操作或一个OK操作。可选功能是检查是否有任何操作与指定的ARN之一相匹配在CloudWatch中,如果超出阈值的数据点数少于触发警报的数据点数的值,则警报状态设置为 OK;否则,状态设置为ALARM。如果用户已将警报设置为将丢失的数据点视为missing。在这种情况下,如果 CloudWatch 无法在评估范围内检索足够的实际数据点,则警报状态设置为INSUFFICIENT_DATA。23 cloudwatch-alarm-resource-check 检查指定的资源是否有针对特定指标的CloudWatch 警报,指标可以通过规则参数resourceType来指定(可以是AWS::EC2::Volume、AWS::EC2::Instance、AWS::S3::Bucket),指标名称可以通过metricName指定 24 cloudwatch-alarm-settings-check 检查拥有指定指标名称的 CloudWatch 警报是否具有指定设置。 通过参数metricName指定警报的指标,threshold指定统计数据的比较值,Period指定统计数据的时间,evaluationPeriod其中的数据将与指定阈值进行比较的期间数,comparisonOperator比较指定的统计数据和阈值的操作 25 db-instance-backup-enabled 检查 RDS 数据库实例是否已启用备份 通过backupRetentionPeriod指定备份的保留期,preferredBackupWindow指定创建备份的时间范围,checkReadReplicas检查 RDS 数据库实例是否已针对只读副本启用备份 26 desired-instance-tenancy 检查实例的指定租期,可以通过指定参数imageId参数指定是否从指定AMI启动的实例,也可以指定hostId参数检查实例是否在这些专用主机上启动 通过 ”租期“指定实例的期望租期,有效值为 DEDICATED、HOST和DEFAULT;27 desired-instance-type 检查 EC2 实例是否具有指定的实例类型。 通过参数nstanceType来指定实例类型 28 dms-replication-not-public 检查DMS复制的实例是否为公有实例(通过检查PubliclyAccessible字段,是否为true),则规则为不合规 Database Migration Service可轻松迁移关系数据库、数据仓库、NoSQL 数据库及其他类型的数据存储到AWS.源数据库在迁移过程中可继续正常运行,从而最大程度地减少依赖该数据库的应用程序的停机时间 29 dynamodb-autoscaling-enabled 检查是否在Dynamodb上启用了Auto Scaling 或按需功能 30 dynamodb-table-encryption-enabled 检查 DynamoDB 表是否已加密并检查其状态。如果状态为已启用或正在启用,则规则为 合规的 31 dynamodb-throughput-limit-check 检查为 DynamoDB 预配置的吞吐量是否正在接近账户最大限制,默认检查吞吐量是否超过账户限制的阈值 (80%) 32 ebs-optimized-instance 检查是否为可通过 EBS 优化的 EC2 实例启用 EBS 优化。 EBS 优化后的实例使用优化的配置堆栈,并为EBS I/O 提供额外的专用容量。这种优化通过最小化EBS I/O 与来自用户实例的其他流量之间的争用,为用户的 EBS 卷提供最佳性能 33 ebs-snapshot-public-restorable-check 检查EBS快照是否不可公开还原,即通过检查包含 RestorableByUserIds字段的一个或多个快照值是否被设置为all,(此字段被设置为all即代表EBS快照是公开的)是则该规则为不合规34 ec2-instance-detailed-monitoring-enabled 检查是否已为 EC2 实例启用详细监控 35 ec2-instance-managed-by-systems-manager 检查用户账户中的EC2 实例是否由 AWS Systems Manager 托管 AWS Systems Manager 可以帮助用户快速查看各组资源的运行数据,从而快速识别可能会影响使用这些资源的应用程序的任何问题。资源可以按应用程序、应用程序层、生产与开发环境或用户选择的任何其他标准进行分组。Systems Manager 将资源组的运行数据显示在一个易于查看的控制面板中 36 ec2-instance-no-public-ip 检查EC2实例是否有公有 IP 关联。如果实例配置项中显示 publicIp字段,则规则为 不合规。此规则仅适用于 IPv437 ec2-instances-in-vpc 检查 EC2 实例是否属于某个 Virtual Private Cloud,可通过配置参数vpcId指定要与实例关联的 VPC ID 38 ec2-managedinstance-applications-blacklisted 检查实例上未安装指定的任何应用程序,还可以指定平台,通过参数applicationNames指定应用名称,通过参数platformType指定平台 39 ec2-managedinstance-applications-required 检查实例上是否安装了所有指定应用程序。可通过参数applicationNames指定可接受的最低版本,通过参数platformType指定平台 40 ec2-managedinstance-association-compliance-status-check 检查在实例上做了关联执行后,Amazon EC2 Systems Manager 关联合规性的合规性状态是 COMPLIANT 还是 NON_COMPLIANT。如果字段状态为 COMPLIANT,则规则为 COMPLIANT。 41 ec2-managedinstance-inventory-blacklisted 检查由 AWS Systems Manager 托管的实例是否已配置为黑名单中的清单类型 42 ec2-managedinstance-patch-compliance-status-check 检查在实例上做了补丁安装后,EC2 Systems Manager 补丁合规性的合规性状态是 COMPLIANT 还是 NON_COMPLIANT。如果字段状态为 COMPLIANT,则规则为 COMPLIANT。 43 ec2-managedinstance-platform-check 检查 EC2 托管实例是否具有所需的配置,通过agentVersion指定代理版本,platformType指定平台类型,platformVersion指定平台版本 44 ec2-security-group-attached-to-eni 检查安全组是否附加到 Amazon EC2 实例或弹性网络接口。如果安全组未与 EC2 实例或弹性网络接口相关联,规则将返回不合规 45 ec2-stopped-instance 检查是否有实例的停止时间超过了允许的天数。如果 ec2 实例的状态为已停止的时间超过了允许的天数,则该实例为不合规的。通过参数AllowedDays定义在不合规之前处于停止状态的时间,默认30天 46 ec2-volume-inuse-check 检查 EBS 卷是否已附加到 EC2 实例,可选参数deleteOnTermination来检查 EBS 卷是否已标记为在实例终止时删除 47 eip-attached 检查分配到某个 VPC 的所有弹性 IP 地址已连接到 EC2 实例,还是正在使用的ENI ENI,弹性网络接口,是 VPC 中表示虚拟网卡的逻辑网络组件 48 elasticsearch-in-vpc-only 检查Elasticsearch Service域是否位于 Amazon VPC 中,如果 Amazon ES 域终端节点是公有的,则规则为不合规的 49 elasticache-redis-cluster-automatic-backup-check 检查 Amazon ElastiCache Redis 集群是否已启用自动备份。如果Redis集群的SnapshotRetentionLimit字段小于规则参数SnapshotRetentionPeriod(默认15天),则该规则为不合规的。 SnapshotRetentionLimit字段对于自动快照,为ElastiCache在删除快照之前保留快照的天数;对于手动快照,反映创建快照时源集群的快照保留限制。重要的是,如果SnapshotRetentionLimit的值被设置为0,备份将被关闭。 50 elb-custom-security-policy-ssl-check 检查您的 传统负载均衡器 SSL 侦听器是否在使用自定义策略。此规则只适用于 传统负载均衡器 有 SSL 侦听器的情况。 sslProtocolsAndCiphers规则参数为一个密码和协议列表。 51 elb-deletion-protection-enabled 检查 ELB弹性负载均衡 是否已启用删除保护。即如果 deletion_protection.enabled字段 为 false,则规则为不合规的52 elb-logging-enabled 检查 应用程序负载均衡器 和 传统负载均衡器 是否已启用日志记录。此规则有一个可选规则参数s3BucketNames,如果 access_logs.s3.enabled字段 为 false 或access_logs.S3.bucket字段 不等于 s3BucketName参数值,则规则为不合规的AWS Elastic Load Balancing有三种:分别是Application Load Balancer(应用负载均衡器)、Classic Load Balancer(传统负载均衡器)、Network Load Balancer(网络负载均衡器) 53 elb-predefined-security-policy-ssl-check 检查 传统负载均衡器 SSL 侦听器是否在使用预定义策略。此规则只适用于 传统负载均衡器 有 SSL 侦听器的情况 54 emr-kerberos-enabled 检查 Amazon EMR 群集是否启用了 Kerberos。即如果未将安全配置附加到集群或安全配置不满足指定的规则参数,则规则为 Amazon EMR(Elastic MapReduce) 是一个托管集群平台,可简化在 AWS 上运行大数据框架(如 Apache Hadoop 和 Apache Spark)以处理和分析海量数据的操作。借助这些框架和相关的开源项目 (如 Apache Hive 和 Apache Pig)。用户可以处理用于分析目的的数据和商业智能工作负载。此外,用户可以使用 Amazon EMR 转换大量数据和将大量数据移入和移出其他 AWS 数据存储和数据库,如 Amazon S3 和 DynamoDB。Kerberos 是一种网络身份验证协议,它使用票证和对称密钥加密,而不再需要通过网络传输密码。Kerberos 已内置到 Active Directory 中,用于在网络资源(如数据库)中对用户进行身份验证。 55 emr-master-no-public-ip 检查 Amazon Elastic MapReduce (EMR) 集群的主节点是否具有公有 IP,如果主节点具有公有 IP,则该规则为不合规的 56* fms-security-group-audit-policy-check 根据 allowSecurityGroup和denySecurityGroup标记,检查安全组关联的inScope资源是否符合每个规则级别的主安全组。规则参数有masterSecurityGroupsIds主安全组 ID 列表、resourceTags与规则关联的资源标签、inScope如果为 true,AWS Config 则规则拥有者处于 Firewall Manager 安全组审计策略范围内、excludeResourceTags如果为 true,则排除与 resourceTags 匹配的资源、resourceTypes资源类型、allowSecurityGroup如果为 true,则规则将检查并确保所有inScope安全组都在引用安全组的入站/出站规则中AWS WAF 是一种 Web 应用程序防火墙,可用于监控转发到 一个 Amazon CloudFront 分配、一个 Amazon API Gateway REST API 或一个 应用程序负载均衡器 的 HTTP 和 HTTPS 请求。为了实现针对 DDoS 攻击的额外保护,AWS 还提供了 AWS Shield Standard 和 AWS Shield Advanced。AWS Firewall Manager 可针对 AWS WAF 规则、AWS Shield Advanced 保护和 Amazon VPC 安全组,简化跨多个账户和多种资源的管理和维护任务。FMS(Firewalld Manager Service) 57 fms-security-group-content-check 检查 Firewall Manager 创建的安全组内容是否与主安全组相同。如果内容不匹配,则规则为不合规的 规则参数有vpcIds代表vpc ID列表、securityGroupsIds安全组ID列表、fmsRemediationEnabled 如果为 true,则 Firewall Manager 将根据 FMS 策略更新不合规资源、revertManualSecurityGroupChangesFlag 如果为 true,AWS Firewall Manager 将检查 securityGroupsIds 参数中的安全组、allowSecurityGroup 如果为 true,则规则将检查并确保所有 inScope安全组都在引用安全组的入站/出站规则中、可选参数masterSecurityGroupsIds管理员帐户中主安全组 ID列表58 fms-security-group-resource-association-check 检查 Amazon EC2 或弹性网络接口是否与 AWS Firewall Manager 安全组关联。如果资源未与 FMS 安全组关联,则规则为不合规的 59 guardduty-non-archived-findings **检查 Amazon GuardDuty 是否有未归档的结果。如果 Amazon GuardDuty 所具有的未归档的低/中/高严重性结果数超过了 规则参数中指定的数量,则该规则为不合规的。**可通过规则参数daysLowSev、daysMediumSev、daysHighSev分别定义允许GuardDuty低、中、高严重性结果保持未存档状态的天数,默认分别为30、7、1天 Amazon GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护用户的 AWS 账户、工作负载和在 Amazon S3 中存储的数据。 60 iam-group-has-users-check 检查 IAM 组是否至少拥有一个 IAM 用户 61 iam-password-policy 检查 IAM 用户的账户密码策略是否符合指定要求 可通过规则参数RequireUppercaseCharacters指定密码中至少包含一个大写字符、RequireLowercaseCharacters指定密码中要求至少包含一个小写字符、RequireSymbols指定密码中要求至少包含一个符号等等、 62 iam-policy-blacklisted-check 该规则有两个规则参数,policyArns指定策略ARN的列表、exceptionList指定此规则免除的IAM用户、组或角色的列表。该规则检查policyArns参数中指定的策略的ARN是否附加到了IAM资源,如果已附加,则该规则为不合规的。如果IAM资源已在exceptionList中指定,该规则会直接将其标记为合规。 63 iam-policy-in-use 检查 IAM 策略 ARN 是否正在被对应IAM用户、组、角色所使用 规则参数policyARN 指定要检查的 IAM 策略的 Amazon 资源名称,可选参数policyUsageType 指定要作为 IAM 用户、 IAM 组或 IAM 角色附加的策略。 64 iam-policy-no-statements-with-admin-access 检查用户所创建的基于身份或基于资源的策略是否为用 Allow 语句直接获得所有资源的权限,如果是则为不合规的 65 iam-role-managed-policy-check 检查managedPolicyNames规则参数中指定的 IAM 策略是否已附加到所有 AWS 角色,如果未附加到IAM角色,则该规则未不合规的 66 iam-root-access-key-check 检查 root 用户访问密钥是否可用。如果用户访问密钥不存在,则规则为不合规的 67 iam-user-group-membership-check 检查 IAM 用户是否为至少一个 IAM 组的成员 通过规则参数groupName来指定IAM组列表 68 iam-user-mfa-enabled 检查IAM用户是否已启用多重验证 (MFA) AWS MFA ,全称Multi-Factor Authentication,多因素身份验证,启用MFA后,访问AWS控制台除了要输入原用户账号/密码外,还要输入来自AWS MFA 设备的身份验证代码,为使用AWS服务提供除了用户名和密码之外的额外一层保障。 69 iam-user-no-policies-check 检查用户的IAM 用户是否都未附加策略。IAM 用户必须从 IAM 组或角色继承权限 70 iam-user-unused-credentials-check 检查用户的IAM用户是否拥有通过参数maxCredentialUsageAge(默认90天)指定天数内尚未使用的密码或活动访问密钥。 71 internet-gateway-authorized-vpc-only 检查是否仅将互联网网关 (IGW) 附加到授权VPC,如果 IGW 未附加到授权 VPC,则规则为不合规的 AWS的 Internet Gateway(缩写为IGW,即AWS设定的VPC中的Internet出口) AWS的网络组件介绍72 kms-cmk-not-scheduled-for-deletion 检查是否计划在 AWS Key Management Service (KMS) 中删除客户主密钥 (CMK),,如果计划删除 CMK,则规则为不合规的 通过参数kmsKeyIds指定未计划删除的特定客户托管密钥 ID列表,如果未指定任何密钥,则规则将检查所有密钥 73 lambda-concurrency-check 检查 AWS Lambda 函数是否配置了函数级并发执行限制。如果 Lambda 函数未配置函数级并发执行限制,则规则为不合规的 可选参数ConcurrencyLimitLow、ConcurrencyLimitHigh分别指定最小、最大并发执行限制 74 lambda-dlq-check 检查 AWS Lambda 函数是否配置了死信队列。如果 Lambda 函数未配置死信队列,则规则为不合规的 AWS Lambda 允许设置 Debugging and error handling, 在 Lambda 出现异常,达到最大的重试次数后,把ErrorMessage, 即原 Lambda 抛出 Exception 的 getMessage() 信息、ErrorCode(三位数字的 HTTP 错误码)、原始 Lambda 的 RequestId、原始 Lambda 接收到的消息信息放到选择的 SNS 或 SQS 主题作为死信队列(DLQ - Dead Letter Queue)75 lambda-function-settings-check 规则参数runtime运行时值的列表、role为IAM 角色、timeout超时时间、memorySize内存大小。该规则通过设置的参数值来检查运行时、角色、超时和内存大小的 lambda 函数设置是否符合预期值 76 lambda-inside-vpc 检查 AWS Lambda 函数是否位于 Amazon Virtual Private Cloud 中。如果 Lambda 函数不在 VPC 中,则规则为不合规的 subnetId可选参数指定Lambda函数必须关联的子网ID列表 77 mfa-enabled-for-iam-console-access 检查是否为使用控制台密码的所有 AWS IAM 用户启用 AWS 多重验证 (MFA)。如果已启用 MFA,则规则为合规的 78 multi-region-cloud-trail-enabled **检查是否至少有一个多区域 AWS CloudTrail。如果跟踪与输入参数不匹配,则规则为不合规的。**通过参数 s3BucketName 指定要将日志文件传输到的 AWS CloudTrail 的 Amazon S3 存储桶的名称、snsTopicArn 指定要用于通知的 AWS CloudTrail 的 Amazon SNS 主题 ARN、cloudWatchLogsLogGroupArn 指定要将数据发送到的 AWS CloudTrail 的 Amazon CloudWatch 日志组 ARN、includeManagementEvents 指定要包含 AWS CloudTrail 的管理事件的事件选择器、readWriteType 指定要记录的事件的类型。有效值为 ReadOnly、WriteOnly和ALL。AWS CloudTrail 是一种 Web 服务,可记录在用户账户上进行的活动,并将日志文件传送至用户的 Amazon S3 存储桶。 79 rds-enhanced-monitoring-enabled 检查是否为RDS实例启用了增强监控 可选参数 monitoringInterval 为一个整数值,表示为数据库实例收集增强监控指标时,点之间的秒数 80 rds-instance-public-access-check 检查RDS实例是否可公开访问,如果可公开访问,则该规则为不合规的 81 rds-multi-az-support 检查用户的 RDS 数据库实例是否启用了高可用性 82 rds-snapshots-public-prohibited 检查 RDS 的快照是否为公有的,如果任何现有的和新的 Amazon RDS 快照都是公有的,则规则为不合规的 83 redshift-cluster-configuration-check 检查 Amazon Redshift 集群是否具有通过规则参数指定的设置 Redshift是AWS的一款云数据仓库,规则参数clusterDbEncrypted表示数据库加密已启用、nodeTypes指定节点类型、loggingEnabled表示审核日志记录已启用 84 redshift-cluster-maintenancesettings-check 检查 Amazon Redshift 集群是否具有指定的维护设置。 通过参数allowVersionUpgrade指定允许版本升级、preferredMaintenanceWindow指定为集群计划的维护时段、automatedSnapshotRetentionPeriod指定自动快照要被保留的天数 85 redshift-cluster-public-access-check 检查 Amazon Redshift 集群是否不可公开访问。如果集群配置项中的 publiclyAccessible字段为 true( 即对外公开 ),则规则为不合规的86 required-tags 检查用户的资源是否有所指定的标签 可通过参数tag1Key、tag1Value指定键值对 87 restricted-common-ports 检查安全组中是否禁止TCP流量进入特定的端口。当入站的TCP连接的IP地址被限制到指定的端口时,该规则是符合的。仅适用于IPv4 通过参数blockedPort X来指定禁止的TCP端口号 88 restricted-ssh 检查安全组中是否有可访问SSH的流量。当安全组中传入SSH流量的IP地址受到限制时,该规则是合规的。这个规则只适用于IPv4。 89 s3-bucket-default-lock-enabled 检查Amazon S3 bucket是否启用了锁,如果为启用,该规则为不合规的 可选参数mode来指定具有 GOVERNANCE 或 COMPLIANCE 有效值的模式参数。 90 s3-default-encryption-kms 检查S3存储桶是否使用了KMS加密,如果未使用KMS加密,则规则为不合规的 可选参数kmsKeyArns用来设置KMS的ARN列表 91 securityhub-enabled 检查是否为AWS账户启用了AWS Security Hub。如果未启用,该规则为不合规的 AWS Security Hub一个服务用于收集各种资源的状态及事件,用于持续的审计及合规检查。也可以结合aws的lambda 实现联动对事件进行相应。SecurityHub提供dashboard提供整合视图。 92 sns-encrypted-kms 检查 Amazon SNS 主题是否使用 AWS KMS 加密,如果未使用KMS加密,则规则为不合规的。用户可通过 kmsKeyIds 指定KMS的ARN列表,如果该参数中的KMS不存在时,该规则也为不合规的 93 s3-account-level-public-access-blocks 检查是否从帐户级别配置了所需的公开访问锁设置。只有当可选参数的字段与配置项中的相应字段不匹配时,规则才是不合规的 以下可选参数均为布尔类型,默认为True。IgnorePublicAcls指定忽略公有ACL、blockPublicPolicy锁定公开策略、blockPublicAcls锁定公开ACL、restrictPublicBuckets限制公开桶 94 s3-bucket-logging-enabled 检查用户的S3存储桶是否启用了日志记录 规则参数targetBucket指定目标桶、targetPrefix指定用于存储服务器访问日志的目标 S3 存储桶的前缀。 95 s3-bucket-replication-enabled 检查 S3 存储桶是否已启用了跨区域复制。 96 s3-bucket-versioning-enabled 检查您的 S3 存储桶是否已启用版本控制。通过可选参数isMfaDeleteEnabled检查否为 S3 存储桶启用了 MFA 删除验证 97 sagemaker-endpoint-configuration-kms-key-configured 检查 Amazon SageMaker 终端节点配置,是否已配置 KMS 密钥。如果没有为 Amazon SageMaker 终端节点配置指定 KmsKeyId( 指定KMS密钥ARN列表 ),则该规则为不合规的Amazon SageMaker 是一项完全托管的服务,可以帮助开发人员和数据科学家快速构建、训练和部署机器学习 (ML) 模型。 98 secretsmanager-rotation-enabled-check 检查 AWS Secrets Manager 密钥是否已启用轮换,此外还通过可选参数maximumAllowedRotationFrequency开检查密钥允许的最大轮换频率 AWS Secrets Manager 可帮助用户保护访问应用程序、服务和 IT 资源所需的密钥。该服务使用户能够轻松地跨整个生命周期轮换、管理和检索数据库凭证、API 密钥和其他密钥。用户和应用程序通过调用 Secrets Manager API 来检索密钥,无需对纯文本的敏感信息进行硬编码。Secrets Manager 通过适用于 Amazon RDS、Amazon Redshift 和 Amazon DocumentDB 的内置集成实现密钥轮换。此外,该服务还可以扩展到其他类型的密钥,包括 API 密钥和 OAuth 令牌。 99 secretsmanager-scheduled-rotation-success-check 检查并验证 AWS Secrets Manager 密钥轮换是否已按照轮换计划成功轮换,如果未成功轮换,则规则为不合规的 100 service-vpc-endpoint-enabled 检查是否已为规则参数serviceName中指定的服务床i创建VPC终端节点,如果没有则该规则返回不合规的 101 vpc-default-security-group-closed 检查Amazon VPC的默认安全组是否不允许入站或出站流量,如果默认安全组不是默认值,则返回不合适的。如果安全组有一个或多个入站、出站规则,则该规则为不合规的 102 vpc-flow-logs-enabled 检查是否已为VPC启用了流日志,规则参数trafficType值分别有ACCEPT 、REJECT或ALL103 vpc-sg-open-only-to-authorized-ports 检查是否为VPC的0.0.0.0/0的安全组设置了特定的入栈TCP或UDP流量,如果有端口未在authorizedTcpPorts、authorizedUdpPorts中指定的安全组存在,则该规则为不合规的
