AWS Config Rules Catalog
最終更新: 2026-03-10T22:08:14Z総ルール数: 725 件
対象リソースで絞り込み:
該当件数: 725 件
| ルール名 (識別子) | 概要 | 対象リソース |
|---|---|---|
| ACCESS_KEYS_ROTATED | アクティブな IAM アクセスキーが、maxAccessKeyAgeで指定された日数内にローテーション (変更) されるかどうかを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON_COMPLIANT です。デフォルト値は 90 日です。 | AWS::IAM::User |
| ACCOUNT_PART_OF_ORGANIZATIONS | AWS アカウントが AWS Organizations の一部であるかどうかを確認します。 AWS アカウントが AWS Organizations の一部でない場合、または AWS Organizations マスターアカウント ID がルールパラメータ と一致しない場合、ルールは NON_COMPLIANT ですMasterAccountId。 | - |
| ACMPCA_CERTIFICATE_AUTHORITY_TAGGED | AWS プライベート CA 認証機関にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::ACMPCA::CertificateAuthority |
| ACM_CERTIFICATE_EXPIRATION_CHECK | アカウントの AWS Certificate Manager 証明書が、指定された日数内に有効期限としてマークされているかどうかを確認します。ACM が提供する証明書は自動的に更新されます。ACM は、ユーザーがインポートした証明書を自動的に更新しません。証明書の有効期限が近づいている場合、ルールは NON_COMPLIANT です。 | AWS::ACM::Certificate |
| ACM_CERTIFICATE_RSA_CHECK | AWS Certificate Manager (ACM) によって管理される RSA 証明書のキー長が '2048' ビット以上であるかどうかを確認します。最小キー長が 2048 ビット未満の場合、ルールは NON_COMPLIANT です。 | AWS::ACM::Certificate |
| ACM_PCA_ROOT_CA_DISABLED | Private Certificate Authority (AWS Private CA) AWS のルート CA が無効になっているかどうかを確認します。ルールは、ルート CA の NON_COMPLIANT のステータスが DISABLED になっていないことです。 | AWS::ACMPCA::CertificateAuthority |
| ACTIVE_MQ_SUPPORTED_VERSION | Amazon MQ ActiveMQ ブローカーが、指定された最小サポートエンジンバージョンで実行されているかどうかを確認します。ActiveMQ ブローカーが、指定したサポートされている最小エンジンバージョンで実行されていない場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| ALB_DESYNC_MODE_CHECK | Application Load Balancer (ALB) がユーザー定義の desync 軽減モードで設定されているかどうかを確認します。ALB desync 軽減モードがユーザー定義の desync 軽減モードと一致しない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| ALB_HTTP_DROP_INVALID_HEADER_ENABLED | ルールが AWS Application Load Balancer (ALB) を評価して、http ヘッダーを削除するように設定されているかどうかを確認します。routing.http.drop_invalid_header_fields.enabled の値が false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK | HTTP から HTTPS へのリダイレクトが Application Load Balancer のすべての HTTP リスナーで設定されているかどうかを確認します。Application Load Balancer の 1 つまたは複数の HTTP リスナーに HTTP から HTTPS へのリダイレクトが設定されていない場合、ルールは NON_COMPLIANT です。また、1 つ以上の HTTP リスナーが、リダイレクトではなく HTTP リスナーへの転送を行っている場合、ルールは NON_COMPLIANT となります。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| ALB_INTERNAL_SCHEME_CHECK | Application Load Balancer スキームが内部的かどうかを確認します。configuration.scheme が内部に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| ALB_LISTENER_TAGGED | Application Load Balancer リスナーにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::ElasticLoadBalancingV2::Listener |
| ALB_TAGGED | Application Load Balancer にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| ALB_WAF_ENABLED | Application Load Balancer (ALB) でウェブアプリケーションファイアウォール (WAF) が有効になっているかどうかを確認します。key: waf.enabled が false に設定されている場合、このルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| AMPLIFY_APP_BRANCH_AUTO_DELETION_ENABLED | Git リポジトリからブランチを削除するときに AWS 、Amplify アプリが Amplify ホスティングのブランチを自動的に切断するかどうかを確認します。configuration.EnableBranchAutoDeletion が False に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::Amplify::App |
| AMPLIFY_APP_DESCRIPTION | Amplify AWS アプリに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::Amplify::App |
| AMPLIFY_APP_NO_ENVIRONMENT_VARIABLES | Amplify AWS アプリに環境変数が含まれていないことを確認します。configuration.EnvironmentVariables が空のリストでない場合、ルールは NON_COMPLIANT です。 | AWS::Amplify::App |
| AMPLIFY_APP_TAGGED | Amplify AWS アプリにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::Amplify::App |
| AMPLIFY_BRANCH_DESCRIPTION | Amplify AWS ブランチに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::Amplify::Branch |
| AMPLIFY_BRANCH_PERFORMANCE_MODE_ENABLED | Amplify AWS ブランチでパフォーマンスモードが有効になっているかどうかを確認します。configuration.EnablePerformanceMode が false の場合、ルールは NON_COMPLIANT です。 | AWS::Amplify::Branch |
| AMPLIFY_BRANCH_TAGGED | Amplify AWS ブランチにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::Amplify::Branch |
| APIGATEWAYV2_STAGE_DESCRIPTION | Amazon API Gateway V2 ステージに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::ApiGatewayV2::Stage |
| APIGATEWAY_STAGE_ACCESS_LOGS_ENABLED | Amazon API Gateway ステージで、アクセスログが有効かどうかを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::ApiGateway::Stage |
| APIGATEWAY_STAGE_DESCRIPTION | Amazon API Gateway ステージに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::ApiGateway::Stage |
| API_GWV2_ACCESS_LOGS_ENABLED | Amazon API Gateway V2 ステージで、アクセスログが有効かどうかを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::ApiGatewayV2::Stage |
| API_GWV2_AUTHORIZATION_TYPE_CONFIGURED | Amazon API Gatewayv2 API ルートに認可タイプが設定されているかどうかを確認します。認可タイプが NONE の場合、ルールは NON_COMPLIANT です。 | AWS::ApiGatewayV2::Route |
| API_GWV2_STAGE_DEFAULT_ROUTE_DETAILED_METRICS_ENABLED | Amazon API Gateway V2 ステージのデフォルトルート設定の詳細なメトリクスが有効になっているかどうかを確認します。configuration.defaultRouteSettings.detailedMetricsEnabled が false の場合、ルールは NON_COMPLIANT です。 | AWS::ApiGatewayV2::Stage |
| API_GW_ASSOCIATED_WITH_WAF | Amazon API Gateway API ステージが AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を使用しているかどうかを確認します。 AWS WAF ウェブ ACL が使用されていない場合、または使用されている AWS ウェブ ACL がルールパラメータにリストされているものと一致しない場合、ルールは NON_COMPLIANT です。 | AWS::ApiGateway::Stage |
| API_GW_CACHE_ENABLED_AND_ENCRYPTED | Amazon API Gateway ステージのすべてのメソッドでキャッシュが有効になっているか、および暗号化されているかどうかを確認します。Amazon API Gateway ステージのいずれかのメソッドでキャッシュが設定されていない場合、またはキャッシュが暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::ApiGateway::Stage |
| API_GW_ENDPOINT_TYPE_CHECK | Amazon API Gateway の API がルールパラメータendpointConfigurationTypeで指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON_COMPLIANT を返します。 | AWS::ApiGateway::RestApi |
| API_GW_EXECUTION_LOGGING_ENABLED | Amazon API Gateway ステージのすべてのメソッドのログ記録が有効になっているかどうかを確認します。ログ記録が有効にされていない場合、またはloggingLevelが ERROR でも INFO でもない場合、ルールは NON_COMPLIANT です。 | AWS::ApiGateway::StageAWS::ApiGatewayV2::Stage |
| API_GW_REST_API_TAGGED | AWS ApiGateway REST API リソースにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::ApiGateway::RestApi |
| API_GW_SSL_ENABLED | REST API ステージで SSL 証明書が使用されるかどうかを確認します。REST API ステージに関連する SSL 証明書がない場合、ルールは NON_COMPLIANT です。 | AWS::ApiGateway::Stage |
| API_GW_STAGE_TAGGED | AWS ApiGateway ステージリソースにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::ApiGateway::Stage |
| API_GW_XRAY_ENABLED | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっているかどうかを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON_COMPLIANT です。 | AWS::ApiGateway::Stage |
| APPCONFIG_APPLICATION_DESCRIPTION | AWS AppConfig アプリケーションに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::AppConfig::Application |
| APPCONFIG_APPLICATION_TAGGED | AWS AppConfig アプリケーションにタグがあるかどうかを確認します。必要に応じて、ルールがチェックする特定のタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::AppConfig::Application |
| APPCONFIG_CONFIGURATION_PROFILE_TAGGED | AWS AppConfig 設定プロファイルにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::AppConfig::ConfigurationProfile |
| APPCONFIG_CONFIGURATION_PROFILE_VALIDATORS_NOT_EMPTY | AWS AppConfig 設定プロファイルに構文チェックまたはセマンティックチェック用の検証子が少なくとも 1 つ含まれているかどうかをチェックして、設定デプロイが意図したとおりに機能することを確認します。バリデータープロパティが空の配列の場合、ルールは NON_COMPLIANT です。 | AWS::AppConfig::ConfigurationProfile |
| APPCONFIG_DEPLOYMENT_STRATEGY_DESCRIPTION | AWS AppConfig デプロイ戦略に説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::AppConfig::DeploymentStrategy |
| APPCONFIG_DEPLOYMENT_STRATEGY_MINIMUM_FINAL_BAKE_TIME | AWS AppConfig デプロイ戦略に、指定された最小ベイク時間が必要かどうかを確認します。デプロイ戦略の最終ベイク時間がルールパラメータで指定された値より小さい場合、ルールは NON_COMPLIANT です。デフォルト値は 30 分です。 | AWS::AppConfig::DeploymentStrategy |
| APPCONFIG_DEPLOYMENT_STRATEGY_REPLICATE_TO_SSM | AWS AppConfig デプロイ戦略がデプロイ戦略を AWS Systems Manager (SSM) ドキュメントに保存しているかどうかを確認します。configuration.ReplicateTo が「SSM_DOCUMENT」でない場合、ルールは NON_COMPLIANT です。 | AWS::AppConfig::DeploymentStrategy |
| APPCONFIG_DEPLOYMENT_STRATEGY_TAGGED | AWS AppConfig デプロイ戦略にタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::AppConfig::DeploymentStrategy |
| APPCONFIG_ENVIRONMENT_DESCRIPTION | AWS AppConfig 環境の説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::AppConfig::Environment |
| APPCONFIG_ENVIRONMENT_TAGGED | AWS AppConfig 環境にタグがあるかどうかを確認します。必要に応じて、ルールがチェックする特定のタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::AppConfig::Environment |
| APPCONFIG_EXTENSION_ASSOCIATION_TAGGED | AWS AppConfig 拡張機能の関連付けにタグがあるかどうかをチェックします。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::AppConfig::ExtensionAssociation |
| APPCONFIG_FREEFORM_PROFILE_CONFIG_STORAGE | AWS AppConfig のフリーフォーム設定プロファイルが、設定データを AWS Secrets Manager または AWS AppConfig がホストする設定ストアに保存しているかどうかを確認します。configuration.LocationUri が secretsmanager または hosted でない場合、ルールは NON_COMPLIANT です。 | AWS::AppConfig::ConfigurationProfile |
| APPCONFIG_HOSTED_CONFIGURATION_VERSION_DESCRIPTION | AWS AppConfig ホスト設定バージョンに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::AppConfig::HostedConfigurationVersion |
| APPFLOW_FLOW_TAGGED | Amazon AppFlow フローにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::AppFlow::Flow |
| APPFLOW_FLOW_TRIGGER_TYPE_CHECK | Amazon AppFlow フローが指定されたトリガータイプを使用して実行されているかどうかを確認します。必要なルールパラメータで指定されたフロータイプを使用してフローが実行されない場合、ルールは NON_COMPLAINT です。 | AWS::AppFlow::Flow |
| APPINTEGRATIONS_EVENT_INTEGRATION_DESCRIPTION | Amazon AppIntegrations イベント統合に説明があるかどうかをチェックします。configuration.Description が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::AppIntegrations::EventIntegration |
| APPINTEGRATIONS_EVENT_INTEGRATION_TAGGED | Amazon AppIntegrations イベント統合にタグがあるかどうかをチェックします。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppIntegrations::EventIntegration |
| APPMESH_GATEWAY_ROUTE_TAGGED | AWS App Mesh ゲートウェイルートにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppMesh::GatewayRoute |
| APPMESH_MESH_DENY_TCP_FORWARDING | AWS App Mesh サービスメッシュのプロキシが、メッシュで定義されているプロキシでデプロイされていないサービスに直接 TCP トラフィックを転送しないかどうかを確認します。configuration.Spec.EgressFilter.Type が「ALLOW_ALL」に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::AppMesh::Mesh |
| APPMESH_MESH_TAGGED | AWS App Mesh メッシュにタグがあるかどうかを確認します。必要に応じて、ルールがチェックする特定のタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppMesh::Mesh |
| APPMESH_ROUTE_TAGGED | AWS App Mesh ルートにタグがあるかどうかを確認します。必要に応じて、ルールがチェックする特定のタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppMesh::Route |
| APPMESH_VIRTUAL_GATEWAY_BACKEND_DEFAULTS_TLS | AWS App Mesh 仮想ゲートウェイのバックエンドのデフォルトで、仮想ゲートウェイが TLS を使用してすべてのポートと通信する必要があるかどうかを確認します。configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce が false の場合、ルールは NON_COMPLIANT です。 | AWS::AppMesh::VirtualGateway |
| APPMESH_VIRTUAL_GATEWAY_LOGGING_FILE_PATH_EXISTS | AWS App Mesh 仮想ゲートウェイにアクセスログを書き込むファイルパスがあるかどうかを確認します。configuration.Spec.Logging.AccessLog.File.Path が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::AppMesh::VirtualGateway |
| APPMESH_VIRTUAL_GATEWAY_TAGGED | AWS App Mesh 仮想ゲートウェイにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppMesh::VirtualGateway |
| APPMESH_VIRTUAL_NODE_BACKEND_DEFAULTS_TLS_ON | AWS App Mesh 仮想ノードのバックエンドのデフォルトで、仮想ノードが TLS を使用してすべてのポートと通信する必要があるかどうかを確認します。configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce が false の場合、ルールは NON_COMPLIANT です。 | AWS::AppMesh::VirtualNode |
| APPMESH_VIRTUAL_NODE_CLOUD_MAP_IP_PREF_CHECK | AWS App Mesh 仮想ノードが AWS Cloud Map サービス検出用に指定された IP 設定で設定されているかどうかを確認します。仮想ノードが必要なルールパラメータで指定された IP 設定で構成されていない場合、ルールは NON_COMPLIANT です。 | AWS::AppMesh::VirtualNode |
| APPMESH_VIRTUAL_NODE_DNS_IP_PREF_CHECK | AWS App Mesh 仮想ノードが DNS サービス検出用に指定された IP 設定で設定されているかどうかを確認します。仮想ノードが必要なルールパラメータで指定された IP 設定で構成されていない場合、ルールは NON_COMPLIANT です。 | AWS::AppMesh::VirtualNode |
| APPMESH_VIRTUAL_NODE_LOGGING_FILE_PATH_EXISTS | AWS App Mesh 仮想ノードにアクセスログを書き込むファイルパスがあるかどうかを確認します。configuration.Spec.Logging.AccessLog.File.Path が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::AppMesh::VirtualNode |
| APPMESH_VIRTUAL_NODE_TAGGED | AWS App Mesh 仮想ノードにタグがあるかどうかを確認します。必要に応じて、ルールがチェックする特定のタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppMesh::VirtualNode |
| APPMESH_VIRTUAL_ROUTER_TAGGED | AWS App Mesh 仮想ルーターにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppMesh::VirtualRouter |
| APPMESH_VIRTUAL_SERVICE_TAGGED | AWS App Mesh 仮想サービスにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppMesh::VirtualService |
| APPROVED_AMIS_BY_ID | EC2 インスタンスで、指定された Amazon マシンイメージ (AMI) が使用されているかどうかをチェックします。承認済み AMI ID のリストを指定します。実行中のインスタンスで使用されている AMI が、このリストにない場合は NON_COMPLIANT です。 | AWS::EC2::Instance |
| APPROVED_AMIS_BY_TAG | EC2 インスタンスで、指定された Amazon マシンイメージ (AMI) が使用されているかどうかをチェックします。AMI を識別するタグを指定します。実行中のインスタンスで使用されている AMI に、指定したタグの少なくとも 1 つがない場合は NON_COMPLIANT です。 | AWS::EC2::Instance |
| APPRUNNER_SERVICE_IN_VPC | AWS App Runner サービスがカスタム VPC を介して送信トラフィックをルーティングするかどうかを確認します。configuration.NetworkConfiguration.EgressConfiguration.EgressType が DEFAULT と等しい場合、ルールは NON_COMPLIANT です。 | AWS::AppRunner::Service |
| APPRUNNER_SERVICE_IP_ADDRESS_TYPE_CHECK | AWS App Runner サービスが、受信パブリックネットワーク設定に指定された IP アドレスタイプで設定されているかどうかを確認します。サービスが必要なルールパラメータで指定された IP アドレスタイプで構成されていない場合、ルールは NON_COMPLIANT です。 | AWS::AppRunner::Service |
| APPRUNNER_SERVICE_MAX_UNHEALTHY_THRESHOLD | AWS App Runner サービスに、指定された値以下の異常なしきい値が設定されているかどうかを確認します。異常なしきい値が、必要なルールパラメータで指定された値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::AppRunner::Service |
| APPRUNNER_SERVICE_NO_PUBLIC_ACCESS | AWS AppRunner サービスがパブリックにアクセス可能でないかどうかを確認します。service.configuration.NetworkConfiguration.IngressConfiguration.IsPubliclyAccessible が False の場合、ルールは NON_COMPLIANT です。 | AWS::AppRunner::Service |
| APPRUNNER_SERVICE_OBSERVABILITY_ENABLED | AWS App Runner サービスでオブザーバビリティが有効になっているかどうかを確認します。configuration.ObservabilityConfiguration.ObservabilityEnabled が false の場合、ルールは NON_COMPLIANT です。 | AWS::AppRunner::Service |
| APPRUNNER_SERVICE_TAGGED | AWS App Runner サービスにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppRunner::Service |
| APPRUNNER_VPC_CONNECTOR_TAGGED | AWS App Runner VPC コネクタにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AppRunner::VpcConnector |
| APPSTREAM_FLEET_IN_VPC | Amazon AppStream 2.0 フリートが Amazon Virtual Private Cloud (Amazon VPC) を使用しているかどうかをチェックします。configuration.VpcConfig が存在しない場合、ルールは NON_COMPLIANT です。ルールは Elastic フリートをチェックしません。 | AWS::AppStream::Fleet |
| APPSYNC_ASSOCIATED_WITH_WAF | AWS AppSync APIs AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられているかどうかを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON_COMPLIANT です。 | AWS::AppSync::GraphQLApi |
| APPSYNC_AUTHORIZATION_CHECK | AWS AppSync API が許可された認可メカニズムを使用しているかどうかを確認します。承認されていない認可メカニズムが使用されている場合、ルールは NON_COMPLIANT です。 | AWS::AppSync::GraphQLApi |
| APPSYNC_CACHE_CT_ENCRYPTION_AT_REST | AWS AppSync API キャッシュで保管時の暗号化が有効になっているかどうかを確認します。'AtRestEncryptionEnabled' が false の場合、このルールは NON_COMPLIANT です。 | AWS::AppSync::ApiCache |
| APPSYNC_CACHE_CT_ENCRYPTION_IN_TRANSIT | AWS AppSync API キャッシュで転送中の暗号化が有効になっているかどうかを確認します。'TransitEncryptionEnabled' が false の場合、ルールは NON_COMPLIANT です。 | AWS::AppSync::ApiCache |
| APPSYNC_CACHE_ENCRYPTION_AT_REST | AWS AppSync API キャッシュで保管時の暗号化が有効になっているかどうかを確認します。'AtRestEncryptionEnabled' が false の場合、このルールは NON_COMPLIANT です。 | AWS::AppSync::GraphQLApi |
| APPSYNC_GRAPHQL_API_XRAY_ENABLED | AWS AppSync GraphQL APIs AWS X-Ray トレースが有効になっているかどうかを確認します。configuration.XrayEnabled が false の場合、ルールは NON_COMPLIANT です。 | AWS::AppSync::GraphQLApi |
| APPSYNC_LOGGING_ENABLED | AWS AppSync API でフィールドレベルのログ記録が有効になっているかどうかを確認します。フィールドレベルのログが有効になっていない場合、または AppSync API のフィールドログレベルが「fieldLoggingLevel」パラメータで指定された値と一致しない場合、ルールは NON_COMPLIANT です。 | AWS::AppSync::GraphQLApi |
| APS_RULE_GROUPS_NAMESPACE_TAGGED | Amazon Managed Service for Prometheus のルールグループ名前空間にタグがあるかどうかをチェックします。タグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::APS::RuleGroupsNamespace |
| ATHENA_DATA_CATALOG_DESCRIPTION | Amazon Athena データカタログに説明があるかどうかをチェックします。configuration.Description が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::Athena::DataCatalog |
| ATHENA_PREPARED_STATEMENT_DESCRIPTION | Amazon Athena の準備済みステートメントに説明があるかどうかをチェックします。configuration.Description が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::Athena::PreparedStatement |
| ATHENA_WORKGROUP_DESCRIPTION | Amazon Athena ワークグループに説明があるかどうかをチェックします。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::Athena::WorkGroup |
| ATHENA_WORKGROUP_ENCRYPTED_AT_REST | Amazon Athena ワークグループが保管中に暗号化されているかどうかを確認します。Athena ワークグループで保管中のデータの暗号化が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::Athena::WorkGroup |
| ATHENA_WORKGROUP_ENFORCE_WORKGROUP_CONFIGURATION | Athena エンジンを使用する Amazon Athena ワークグループがワークグループ構成を強制してクライアント側の設定を上書きするかどうかをチェックします。configuration.WorkGroupConfiguration.EnforceWorkGroupConfiguration が false の場合、ルールは NON_COMPLIANT です。 | AWS::Athena::WorkGroup |
| ATHENA_WORKGROUP_ENGINE_VERSION_AUTO_UPGRADE | Athena エンジンを使用する Amazon Athena ワークグループが自動アップグレードするように構成されているかどうかをチェックします。configuration.WorkGroupConfiguration.EngineVersion.SelectedEngineVersion が「AUTO」でない場合、ルールは NON_COMPLIANT です。 | AWS::Athena::WorkGroup |
| ATHENA_WORKGROUP_LOGGING_ENABLED | Amazon Athena WorkGroup が、使用状況メトリクスを Amazon CloudWatch に公開するかどうかを確認します。Amazon Athena WorkGroup 'PublishCloudWatchMetricsEnabled ' が false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::Athena::WorkGroup |
| AUDITMANAGER_ASSESSMENT_TAGGED | AWS Audit Manager の評価にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::AuditManager::Assessment |
| AURORA_GLOBAL_DATABASE_ENCRYPTION_AT_REST | Amazon Aurora Global Databases でストレージ暗号化が有効になっているかどうかを確認します。Amazon Aurora グローバルデータベースでストレージ暗号化が有効になっていない場合、このルールは NON_COMPLIANT です。 | AWS::RDS::GlobalCluster |
| AURORA_LAST_BACKUP_RECOVERY_POINT_CREATED | Amazon Aurora DB クラスターのリカバリポイントが作成されたかどうかを確認します。Amazon Relational Database Service (Amazon RDS) DB クラスターに対応するリカバリポイントが指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| AURORA_MEETS_RESTORE_TIME_TARGET | Amazon Aurora DB クラスターの復元時間が、指定された期間と一致しているかどうかを確認します。Aurora DB クラスターの LatestRestoreExecutionTimeMinutes が maxRestoreTime の値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| AURORA_MYSQL_BACKTRACKING_ENABLED | Amazon Aurora MySQL クラスターでバックトラッキングが有効になっているかどうかを確認します。Aurora クラスターで MySQL が使用されているが、バックトラッキングが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| AURORA_MYSQL_CLUSTER_AUDIT_LOGGING | Amazon Aurora MySQL DB クラスターで監査ログ記録が有効になっているかどうかをチェックします。DB クラスターで監査ログが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| AURORA_RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT | Amazon Aurora DB クラスターが論理エアギャップボールトにあるかどうかを確認します。Amazon Aurora DB クラスターが、指定された期間内に論理エアギャップボールトにない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| AURORA_RESOURCES_PROTECTED_BACKUP_PLAN | Amazon Aurora DB クラスターがバックアッププランで保護されているかどうかを確認します。Amazon Relational Database Service (Amazon RDS) データベースクラスターがバックアッププランによって保護されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| AUTOSCALING_CAPACITY_REBALANCING | 複数のインスタンスタイプを使用する Amazon EC2 Auto Scaling グループで容量の再分散が有効かどうかを確認します。容量の再分散が有効でない場合、ルールは NON_COMPLIANT です。 | AWS::AutoScaling::AutoScalingGroup |
| AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED | Elastic Load Balancer に関連付けられた Amazon EC2 Auto Scaling グループで、Elastic Load Balancing のヘルスチェックが使用されているかどうかを確認します。Amazon EC2 Auto Scaling グループが Elastic Load Balancing のヘルスチェックを使用していない場合、ルールは NON_COMPLIANT です。 | AWS::AutoScaling::AutoScalingGroup |
| AUTOSCALING_LAUNCHCONFIG_REQUIRES_IMDSV2 | IMDSv2 だけが有効になっているかどうかを確認します。メタデータのバージョンが起動設定に含まれていない場合、またはメタデータ V1 と V2 の両方が有効になっている場合、このルールは非準拠です。 | AWS::AutoScaling::LaunchConfiguration |
| AUTOSCALING_LAUNCH_CONFIG_HOP_LIMIT | メタデータトークンが移動できるネットワークホップの数を確認します。メタデータのレスポンスのホップ制限が 1 より大きい場合、このルールは NON_COMPLIANT です。 | AWS::AutoScaling::LaunchConfiguration |
| AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED | Amazon EC2 Auto Scaling グループのパブリック IP アドレスが、起動設定によって有効になっているかどうかを確認します。Amazon EC2 Auto Scaling グループの起動設定で、AssociatePublicIpAddress が「true」に設定されている場合、このルールは NON_COMPLIANT です。 | AWS::AutoScaling::LaunchConfiguration |
| AUTOSCALING_LAUNCH_TEMPLATE | 対象の Amazon Elastic Compute Cloud (EC2) Auto Scaling グループが、EC2 起動テンプレートから作成されたものかどうかを確認します。EC2 起動テンプレートから作成されていない Scaling グループでは、ルールが NON_COMPLIANT になっています。 | AWS::AutoScaling::AutoScalingGroup |
| autoscaling-multiple-az | Auto Scaling グループが複数のアベイラビリティーゾーンにまたがっているかどうかを確認します。Auto Scaling グループが複数のアベイラビリティーゾーンにまたがっていない場合、ルールは NON_COMPLIANT になります。 | AWS::AutoScaling::AutoScalingGroup |
| AUTOSCALING_MULTIPLE_INSTANCE_TYPES | Amazon EC2 Auto Scaling グループが複数のインスタンスタイプを使用しているかどうかをチェックします。Amazon EC2 Auto Scaling グループに 1 つのインスタンスタイプしか定義されていない場合、このルールは NON_COMPLIANT です。このルールは、属性ベースのインスタンスタイプを評価しません。 | AWS::AutoScaling::AutoScalingGroup |
| BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK | バックアッププランに、必要な頻度と保存期間を満たすバックアップルールがあるかどうかを確認します。このルールは、少なくとも指定した頻度と同じ頻度でリカバリポイントが作成されない場合、または指定した期間より前に期限切れになる場合は、非準拠です。 | AWS::Backup::BackupPlan |
| BACKUP_RECOVERY_POINT_ENCRYPTED | リカバリポイントが暗号化されているかどうかを確認します。リカバリポイントが暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::Backup::RecoveryPoint |
| BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されているかどうかを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON_COMPLIANT です。 | AWS::Backup::BackupVault |
| BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK | リカバリポイントが、指定した期間より前に期限切れになるかどうかを確認します。リカバリポイントに必要な保持期間より短いリテンションポイントがある場合、ルールは NON_COMPLIANT です。 | AWS::Backup::RecoveryPoint |
| BATCH_COMPUTE_ENVIRONMENT_ENABLED | AWS バッチコンピューティング環境が有効になっているかどうかを確認します。configuration.State が「DISABLED」の場合、ルールは NON_COMPLIANT です。 | AWS::Batch::ComputeEnvironment |
| BATCH_COMPUTE_ENVIRONMENT_MANAGED | AWS バッチコンピューティング環境が管理されているかどうかを確認します。configuration.Type が「UNMANAGED」の場合、ルールは NON_COMPLIANT です。 | AWS::Batch::ComputeEnvironment |
| BATCH_COMPUTE_ENVIRONMENT_TAGGED | AWS バッチコンピューティング環境にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Batch::ComputeEnvironment |
| BATCH_JOB_QUEUE_ENABLED | AWS バッチジョブキューが有効になっているかどうかを確認します。configuration.State が「DISABLED」の場合、ルールは NON_COMPLIANT です。 | AWS::Batch::JobQueue |
| BATCH_JOB_QUEUE_TAGGED | AWS バッチジョブキューにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Batch::JobQueue |
| BATCH_MANAGED_COMPUTE_ENVIRONMENT_USING_LAUNCH_TEMPLATE | AWS バッチマネージドコンピューティング環境が起動テンプレートを使用して設定されているかどうかを確認します。configuration.ComputeResources.LaunchTemplate が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::Batch::ComputeEnvironment |
| BATCH_MANAGED_COMPUTE_ENV_ALLOCATION_STRATEGY_CHECK | AWS バッチマネージドコンピューティング環境が指定された割り当て戦略で設定されているかどうかを確認します。必要なルールパラメータで指定された割り当て戦略でコンピューティング環境が設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::Batch::ComputeEnvironment |
| BATCH_MANAGED_COMPUTE_ENV_COMPUTE_RESOURCES_TAGGED | AWS バッチマネージドコンピューティング環境のコンピューティングリソースにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。「aws:」で始まるタグはチェックされません。 | AWS::Batch::ComputeEnvironment |
| BATCH_MANAGED_SPOT_COMPUTE_ENVIRONMENT_MAX_BID | AWS バッチマネージドスポットコンピューティング環境が、指定された値以下の入札率で設定されているかどうかを確認します。入札パーセンテージが必要なルールパラメータで指定された値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::Batch::ComputeEnvironment |
| BATCH_SCHEDULING_POLICY_TAGGED | AWS バッチスケジューリングポリシーにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Batch::SchedulingPolicy |
| BEANSTALK_ENHANCED_HEALTH_REPORTING_ENABLED | Elastic Beanstalk AWS 環境が拡張ヘルスレポート用に設定されているかどうかを確認します。この環境が拡張ヘルスレポートを作成するよう設定されている場合、ルールは COMPLIANT です。環境が基本ヘルスレポートを作成するよう設定されている場合、ルールは NON_COMPLIANT です。 | AWS::ElasticBeanstalk::Environment |
| CASSANDRA_KEYSPACE_TAGGED | Amazon Keyspaces (Apache Cassandra 向け) キースペースにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Cassandra::Keyspace |
| CLB_DESYNC_MODE_CHECK | Classic Load Balancer (CLB) がユーザー定義の Desync 軽減モードで設定されているかどうかを確認します。CLB Desync 軽減モードがユーザー定義の Desync 軽減モードと一致しない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancing::LoadBalancer |
| CLB_MULTIPLE_AZ | Classic Load Balancer が複数のアベイラビリティーゾーン (AZ) にまたがるかどうかをチェックします。Classic Load Balancer が 2 AZ 未満の場合、またはminAvailabilityZonesパラメータ (指定されている場合) に記載されている数の AZ にまたがっていない場合は、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancing::LoadBalancer |
| CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK | a AWS CloudFormation (CloudFormation) スタックの実際の設定が、予想される設定と異なるか、ドリフトしたかどうかを確認します。スタックの 1 つ以上のリソースが意図した設定と異なっている場合、スタックはドリフトしたと見なされます。このルールとスタックは、スタックのドリフトステータスが IN_SYNC の場合、COMPLIANT です。このルールは、スタックのドリフトステータスが DRIFTED の場合、NON_COMPLIANT です。 | AWS::CloudFormation::Stack |
| CLOUDFORMATION_STACK_NOTIFICATION_CHEC | CloudFormation スタックが Amazon SNS トピックにイベント通知を送信しているかどうか確認します。オプションで、指定された Amazon SNS トピックが使用されているかどうか確認します。CloudFormation スタックが通知を送信しない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFormation::Stack |
| CLOUDFORMATION_STACK_SERVICE_ROLE_CHECK | AWS CloudFormation スタックがサービスロールを使用しているかどうかを確認します。CloudFormation スタックにサービスロールが関連付けられていない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFormation::Stack |
| CLOUDFORMATION_TERMINATION_PROTECTION_CHECK | AWS CloudFormation スタックで終了保護が有効になっているかどうかを確認します。CloudFormation スタックで終了保護が有効になっていない場合、このルールは NON_COMPLIANT です。 | AWS::CloudFormation::Stack |
| CLOUDFRONT_ACCESSLOGS_ENABLED | Amazon CloudFront ディストリビューションが、標準ログ記録 (レガシー) を使用して Amazon S3 バケットにアクセスログを提供するように設定されているかどうかを確認します。CloudFront ディストリビューションでログ記録 (レガシー) が設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_ASSOCIATED_WITH_WAF | Amazon CloudFront ディストリビューションがウェブアプリケーションファイアウォール (WAF) または WAFv2 ウェブアクセスコントロールリスト (ACL) に関連付けられているかどうかを確認します。CloudFront ディストリビューションが WAF ウェブ ACL に関連付けられていない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_CUSTOM_SSL_CERTIFICATE | Amazon CloudFront ディストリビューションに関連付けられている証明書が、デフォルトの SSL 証明書であるかどうかを確認します。CloudFront ディストリビューションでデフォルトの SSL 証明書が使用される場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED | Amazon CloudFront ディストリビューションが、デフォルトのルートオブジェクトである特定のオブジェクトを返すように設定されているかどうかを確認します。Amazon CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_DISTRIBUTION_KEY_GROUP_ENABLED | Amazon CloudFront ディストリビューションが、すべてのキャッシュ動作の署名付き URL または署名付き Cookie 認証に信頼できるキーグループのみを使用するように設定されているかどうかを確認します。ディストリビューション内のキャッシュ動作が信頼できる署名者を使用している場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_NO_DEPRECATED_SSL_PROTOCOLS | CloudFront ディストリビューションが CloudFront エッジロケーションとカスタムオリジン間の HTTPS 通信に非推奨の SSL プロトコルを使用しているかどうかを確認します。「OriginSslProtocols」に「SSLv3」が含まれる場合、このルールは CloudFront ディストリビューションでは非準拠です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_ORIGIN_ACCESS_IDENTITY_ENABLED | Amazon S3 オリジンタイプの CloudFront ディストリビューションにオリジンアクセスアイデンティティが設定されているかどうかを確認します。CloudFront ディストリビューションが S3 によってバックアップされていて、オリジンタイプが OAI に設定されていない場合、またはオリジンが S3 バケットでない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_ORIGIN_FAILOVER_ENABLED | Amazon CloudFront のオリジングループ内の少なくとも 2 つのオリジンのディストリビューションに対してオリジングループが設定されているかどうかを確認します。ディストリビューションのオリジングループがない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_ORIGIN_LAMBDA_URL_OAC_ENABLED | Amazon Lambda Function URL オリジンがある Amazon CloudFront ディストリビューションでオリジンアクセスコントロール (OAC) が有効になっているかどうかを確認します。CloudFront ディストリビューション内の Lambda 関数 URL オリジンで OAC が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_S3_ORIGIN_ACCESS_CONTROL_ENABLED | Amazon Simple Storage Service (Amazon S3) オリジンタイプを使用する Amazon CloudFront ディストリビューションで、オリジンアクセスコントロール (OAC) が有効かどうかをチェックします。OAC が有効になっていない Amazon S3 オリジンを使用する CloudFront ディストリビューションの場合、ルールは NON_COMPLIANT になります。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_S3_ORIGIN_NON_EXISTENT_BUCKET | Amazon CloudFront ディストリビューションが、存在しない S3 バケットを指しているかどうかを確認します。CloudFront ディストリビューションの `S3OriginConfig` が存在しない S3 バケットを指している場合、ルールは NON_COMPLIANT となります。このルールでは、静的ウェブサイトホスティングの S3 バケットは評価されません。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_SECURITY_POLICY_CHECK | Amazon CloudFront ディストリビューションが、ビューワー接続に必要な最低限のセキュリティポリシーと、TLSv1.2 以上の暗号スイートを使用しているかどうかを確認します。minimumProtocolVersion が TLSv1.2_2018 より古い場合、CloudFront ディストリビューションでは、このルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_SNI_ENABLED | Amazon CloudFront ディストリビューションでカスタム SSL 証明書が使用されていて、SNI を使用して HTTPS リクエストを処理するように設定されているかどうかを確認します。カスタム SSL 証明書が関連付けられているものの、SSL サポートメソッドが専用 IP アドレスである場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_SSL_POLICY_CHECK | Amazon CloudFront ディストリビューションが指定したセキュリティポリシーで設定されているかどうかを確認します。CloudFront ディストリビューションが指定したセキュリティポリシーで設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDFRONT_TRAFFIC_TO_ORIGIN_ENCRYPTED | Amazon CloudFront ディストリビューションがカスタムオリジンへのトラフィックを暗号化しているかどうかを確認します。「OriginProtocolPolicy」が「http のみ」の場合、または「OriginProtocolPolicy」が「マッチビューア」で「ViewerProtocolPolicy」が「すべて許可」の場合、ルールは非準拠です。 | AWS::CloudFront::Distribution |
| cloudfront-viewer-policy-https | Amazon CloudFront ディストリビューションが HTTPS を (直接またはリダイレクト経由で) 使用しているかどうかを確認します。ViewerProtocolPolicy の値が defaultCacheBehavior または CacheBehaviors の「allow-all」に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::CloudFront::Distribution |
| CLOUDTRAIL_ALL_READ_S3_DATA_EVENT_CHECK | AWS CloudTrail マルチリージョン証跡が有効になっているかどうかをチェックし、バケットのすべての読み取り S3 データイベントをログに記録します。マルチリージョン証跡が現在および将来のすべての S3 バケットのすべての読み取り S3 データイベントタイプを記録しない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| CLOUDTRAIL_ALL_WRITE_S3_DATA_EVENT_CHECK | AWS CloudTrail マルチリージョン証跡が有効になっているかどうかをチェックし、バケットのすべての書き込み S3 データイベントを記録します。マルチリージョン証跡が現在および将来のすべての S3 バケットのすべての書き込み S3 データイベントタイプをログに記録しない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| CLOUDTRAIL_S3_BUCKET_ACCESS_LOGGING | AWS CloudTrail ログの S3 バケット設定で Amazon S3 サーバーアクセスログが有効になっているかどうかを確認します。CloudTrail 証跡の少なくとも 1 つの S3 バケットで S3 サーバーアクセスログ記録が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::CloudTrail::Trail |
| CLOUDTRAIL_S3_BUCKET_PUBLIC_ACCESS_PROHIBITED | AWS CloudTrail ログの S3 バケット設定がパブリックアクセスをブロックしているかどうかを確認します。CloudTrail 証跡の少なくとも 1 つの S3 バケットに対してパブリックアクセスがある場合、ルールは NON_COMPLIANT です。 | AWS::CloudTrail::Trail |
| CLOUDTRAIL_S3_DATAEVENTS_ENABLED | 少なくとも 1 つの AWS CloudTrail 証跡がすべての Amazon S3S3) データイベントをログに記録しているかどうかを確認します。証跡がある場合、または証跡が S3 データイベントを記録していない場合、ルールは NON_COMPLIANT です。 | - |
| CLOUDTRAIL_SECURITY_TRAIL_ENABLED | セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくとも 1 つあることを確認します。次のすべてを満たす証跡が少なくとも 1 つある場合、このルールは COMPLIANT です: | - |
| CLOUDWATCH_ALARM_ACTION_CHECK | CloudWatch のアラームに ALARM、INFUFICIENT_DATA、または OK の状態に設定されたアクションがあるかどうかを確認します。オプションで、指定した ARN に一致するアクションがあるかどうかを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON_COMPLIANT です。 | AWS::CloudWatch::Alarm |
| CLOUDWATCH_ALARM_ACTION_ENABLED_CHECK | Amazon CloudWatch アラームアクションが有効な状態にあるかどうかをチェックします。CloudWatch アラームアクションが有効状態でない場合、ルールは NON_COMPLIANT です。 | AWS::CloudWatch::Alarm |
| CLOUDWATCH_ALARM_RESOURCE_CHECK | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあるかどうかを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | AWS::EC2::InstanceAWS::RDS::DBClusterAWS::S3::BucketAWS::EC2::Volume |
| CLOUDWATCH_ALARM_SETTINGS_CHECK | 特定のメトリクス名を持つ CloudWatch アラームに指定された設定があるかどうかを確認します。 | AWS::CloudWatch::Alarm |
| CLOUDWATCH_LOG_GROUP_ENCRYPTED | Amazon CloudWatch Log Groups が KMS AWS キーまたは指定された KMS AWS キー ID で暗号化されているかどうかを確認します。CloudWatch ロググループが KMS キーで暗号化されていない場合、またはルールパラメータに指定されていない KMS キーで暗号化されている場合、ルールは NON_COMPLIANT になります。 | AWS::Logs::LogGroup |
| CLOUDWATCH_METRIC_STREAM_TAGGED | Amazon CloudWatch メトリクスストリームにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::CloudWatch::MetricStream |
| CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED | AWS CloudTrail 証跡が CloudWatch Logs にログを送信するように設定されているかどうかを確認します。証跡の CloudWatchLogsLogGroupArn プロパティが空の場合、この証跡は NON_COMPLIANT です。 | AWS::CloudTrail::Trail |
| CLOUD_TRAIL_ENABLED | AWS アカウントで AWS CloudTrail 証跡が有効になっているかどうかを確認します。証跡が有効でない場合、ルールは NON_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | - |
| CLOUD_TRAIL_ENCRYPTION_ENABLED | サーバー側の暗号化 (SSE) AWS Key Management Service (AWS KMS) 暗号化を使用するように AWS CloudTrail が設定されているかどうかを確認します。KmsKeyId が定義されている場合、ルールは COMPLIANT です。 | AWS::CloudTrail::Trail |
| CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED | AWS CloudTrail が logs を含む署名付きダイジェストファイルを作成するかどうかを確認します。すべての証跡で AWS ファイル検証を有効にすることをお勧めします。検証が有効化されていない場合は、ルールは NON_COMPLIANT です。 | AWS::CloudTrail::Trail |
| CMK_BACKING_KEY_ROTATION_ENABLED | キーごとに自動キーローテーションが有効になっているかどうかをチェックし、お客様が作成した KMS キーのキー ID AWS と一致します。リソースの Config AWS レコーダーロールに kms:DescribeKey アクセス許可がない場合、ルールは NON_COMPLIANT です。 | AWS::KMS::Key |
| codebuild-project-artifact-encryption | AWS CodeBuild プロジェクトで、すべてのアーティファクトに対して暗号化が有効になっているかどうかを確認します。プライマリまたはセカンダリ (存在する場合) のアーティファクト設定のいずれかに「encryptionDisabled」が「true」に設定されていると、ルールは NON_COMPLIANT になります。 | AWS::CodeBuild::Project |
| codebuild-project-environment-privileged-check | AWS CodeBuild プロジェクト環境で特権モードが有効になっているかどうかを確認します。「privilegedMode」が「true」に設定されている場合、ルールは CodeBuild プロジェクトに対して NON_COMPLIANT になります。 | AWS::CodeBuild::Project |
| CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK | プロジェクトに環境 variables AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が含まれているかどうかを確認します。プロジェクト環境変数にプレーンテキストの認証情報が含まれている場合、ルールは NON_COMPLIANT です。 | AWS::CodeBuild::Project |
| codebuild-project-logging-enabled | AWS CodeBuild プロジェクト環境で少なくとも 1 つのログオプションが有効になっているかどうかを確認します。存在するすべてのログ設定のステータスが「DISABLED」に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::CodeBuild::Project |
| codebuild-project-s3-logs-encrypted | Amazon S3 Logs で設定された AWS CodeBuild プロジェクトで、ログに対して暗号化が有効になっているかどうかを確認します。CodeBuild プロジェクトの s3LogsConfig で「encryptionDisabled」が「true」に設定されている場合、ルールは NON_COMPLIANT になります。 | AWS::CodeBuild::Project |
| CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK | Bitbucket のソースリポジトリの URL に、サインイン用の認証情報が含まれているかどうかを確認します。URL にサインイン情報が含まれている場合、ルールは NON_COMPLIANT です。それ以外の場合、COMPLIANT です。 | AWS::CodeBuild::Project |
| CODEBUILD_REPORT_GROUP_ENCRYPTED_AT_REST | AWS CodeBuild レポートグループで保管時の暗号化設定が有効になっているかどうかを確認します。EncryptionDisabled」が「true」の場合、ルールは NON_COMPLIANT です。 | AWS::CodeBuild::ReportGroup |
| CODEBUILD_REPORT_GROUP_TAGGED | AWS CodeBuild レポートグループにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::CodeBuild::ReportGroup |
| codedeploy-auto-rollback-monitor-enabled | デプロイグループに、アラームがアタッチされた自動デプロイロールバックとデプロイモニタリングが設定されているかどうかを確認します。AutoRollbackConfiguration もしくは AlarmConfiguration が設定されていない、または有効化されていない場合、ルールは NON_COMPLIANT になります。 | AWS::CodeDeploy::DeploymentGroup |
| CODEDEPLOY_DEPLOYMENT_GROUP_AUTO_ROLLBACK_ENABLED | AWS CodeDeploy デプロイグループで自動ロールバック設定が有効になっているかどうかを確認します。configuration.autoRollbackConfiguration.enabled が false であるか、存在しない場合、ルールは NON_COMPLIANT です。 | AWS::CodeDeploy::DeploymentGroup |
| CODEDEPLOY_DEPLOYMENT_GROUP_OUTDATED_INSTANCES_UPDATE | AWS CodeDeploy デプロイグループが古いインスタンスを自動的に更新するかどうかをチェックします。configuration.outdatedInstancesStrategy が「IGNORE」の場合、ルールは NON_COMPLIANT です。 | AWS::CodeDeploy::DeploymentGroup |
| codedeploy-ec2-minimum-healthy-hosts-configured | EC2/オンプレミスコンピューティングプラットフォームのデプロイグループに、正常なホストフリートの最小割合、または入力しきい値以上のホスト数が設定されているかどうかを確認します。どちらかがしきい値を下回っている場合、ルールは NON_COMPLIANT になります。 | AWS::CodeDeploy::DeploymentGroup |
| codedeploy-lambda-allatonce-traffic-shift-disabled | Lambda コンピューティングプラットフォームのデプロイグループがデフォルトのデプロイ設定を使用していないかどうかを確認します。デプロイグループが「CodeDeployDefault.LambdaAllAtOnce」のデプロイ設定を使用している場合、ルールは NON_COMPLIANT になります。 | AWS::CodeDeploy::DeploymentGroup |
| CODEGURUPROFILER_PROFILING_GROUP_TAGGED | Amazon CodeGuru Profiler プロファイリンググループにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::CodeGuruProfiler::ProfilingGroup |
| CODEGURUREVIEWER_REPOSITORY_ASSOCIATION_TAGGED | Amazon CodeGuru Reviewer リポジトリの関連付けにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::CodeGuruReviewer::RepositoryAssociation |
| CODEPIPELINE_DEPLOYMENT_COUNT_CHECK | AWS CodePipeline の最初のデプロイステージが複数のデプロイを実行するかどうかを確認します。必要に応じて、後続の残りの各ステージで、指定された数 (deploymentLimit) を超えるデプロイが実行されているかどうかを確認します。 | AWS::CodePipeline::Pipeline |
| CODEPIPELINE_REGION_FANOUT_CHECK | AWS CodePipeline の各ステージが、 AWS CodePipeline が前のすべての組み合わせステージにデプロイしたリージョンの数の N 倍以上にデプロイされるかどうかを確認します。N はリージョンファンアウト番号です。最初のデプロイステージでは最大 1 個のリージョンにデプロイでき、2 番目のデプロイステージではregionFanoutFactorで指定された最大数までデプロイできます。regionFanoutFactorを指定しない場合、デフォルト値は 3 です。例えば、最初のデプロイステージで 1 つのリージョンにデプロイし、2 番目のデプロイステージで 3 つのリージョンにデプロイする場合、3 番目のデプロイステージでは 12 のリージョン、つまり、以前のステージの合計数にファンアウトリージョン数 (3) を乗算した数までデプロイできます。ルールは、デプロイ先の数が第 1 ステージで 1 リージョン、2 番目のステージで 3 リージョン、または 3 番目のステージで 12 リージョンを超える場合、ルールは NON_COMPLIANT です。 | AWS::CodePipeline::Pipeline |
| COGNITO_IDENTITY_POOL_UNAUTHENTICATED_LOGINS | Amazon Cognito アイデンティティプールが認証されていないログインを禁止しているかどうかを確認します。configuration.AllowUnauthenticatedIdentities が true の場合、ルールは NON_COMPLIANT です。 | AWS::Cognito::IdentityPool |
| COGNITO_IDENTITY_POOL_UNAUTH_ACCESS_CHECK | Amazon Cognito アイデンティティプールが認証されていない ID を許可するかどうかをチェックします。アイデンティティプールが認証されていない ID を許可するように設定されている場合、ルールは NON_COMPLIANT です。 | AWS::Cognito::IdentityPool |
| COGNITO_USERPOOL_CUST_AUTH_THREAT_FULL_CHECK | Amazon Cognito ユーザープールで、カスタム認証のフル機能強制モードで脅威保護が有効になっているかどうかを確認します。カスタム認証の脅威保護が全機能適用モードに設定されていない場合、このルールは NON_COMPLIANT です。 | AWS::Cognito::UserPool |
| COGNITO_USER_POOL_ADVANCED_SECURITY_ENABLED | Amazon Cognito ユーザープールで高度なセキュリティが標準認証で有効になっているかどうかを確認します。高度なセキュリティが有効でない場合、ルールは NON_COMPLIANT です。必要に応じて、ルールがチェックするアドバンストセキュリティモードを指定できます。 | AWS::Cognito::UserPool |
| COGNITO_USER_POOL_DELETION_PROTECTION_ENABLED | Amazon Cognito ユーザープールで削除保護が有効になっているかどうかを確認します。ユーザープールで削除保護が無効になっている場合、このルールは NON_COMPLIANT です。 | AWS::Cognito::UserPool |
| COGNITO_USER_POOL_MFA_ENABLED | PASSWORD のみのサインインポリシーで設定された Amazon Cognito ユーザープールでMulti-Factor Authentication (MFA)が有効になっているかどうかを確認します。PASSWORD のみのサインインポリシーで設定された Cognito ユーザープールで MFA が有効になっていない場合、このルールは NON_COMPLIANT です。 | AWS::Cognito::UserPool |
| COGNITO_USER_POOL_PASSWORD_POLICY_CHECK | Amazon Cognito ユーザープールのパスワードポリシーが、パラメータで指定した要件を満たしているかどうかを確認します。ユーザープールのパスワードポリシーが指定の要件を満たしていない場合、ルールは NON_COMPLIANT です。 | AWS::Cognito::UserPool |
| COGNITO_USER_POOL_TAGGED | Amazon Cognito ユーザープールにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Cognito::UserPool |
| CONNECT_INSTANCE_LOGGING_ENABLED | Amazon Connect インスタンスで Amazon CloudWatch ロググループのフローログが有効になっているかどうかをチェックします。Amazon Connect インスタンスでフローログが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::Connect::Instance |
| CUSTOMERPROFILES_DOMAIN_TAGGED | Amazon Connect Customer Profiles ドメインにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::CustomerProfiles::Domain |
| CUSTOMERPROFILES_OBJECT_TYPE_ALLOW_PROFILE_CREATION | Amazon Connect Customer Profiles オブジェクトタイプで、新しい標準プロファイルが存在しない場合に作成できるかどうかを確認します。configuration.AllowProfileCreation が false の場合、ルールは NON_COMPLIANT です。 | AWS::CustomerProfiles::ObjectType |
| CUSTOMERPROFILES_OBJECT_TYPE_TAGGED | Amazon Connect Customer Profiles オブジェクトタイプにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::CustomerProfiles::ObjectType |
| CUSTOM_EVENTBUS_POLICY_ATTACHED | Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされているかどうかを確認します。カスタムイベントバスポリシーにリソースベースのポリシーがアタッチされていない場合、ルールは NON_COMPLIANT です。 | AWS::Events::EventBus |
| CUSTOM_SCHEMA_REGISTRY_POLICY_ATTACHED | カスタム Amazon EventBridge スキーマレジストリにリソースポリシーがアタッチされているかどうかを確認します。リソースポリシーがアタッチされていないカスタムスキーマレジストリの場合、ルールは NON_COMPLIANT です。 | AWS::EventSchemas::Registry |
| CW_LOGGROUP_RETENTION_PERIOD_CHECK | Amazon CloudWatch ロググループの保持期間が 365 日を上回る日数または特定の保持期間に設定されているかどうかを確認します。保持期間がMinRetentionTime(指定されている場合)、または 365 日より短い場合は NON_COMPLIANT です。 | AWS::Logs::LogGroup |
| DATASYNC_LOCATION_OBJECT_STORAGE_USING_HTTPS | AWS DataSync ロケーションオブジェクトストレージサーバーが HTTPS プロトコルを使用して通信しているかどうかを確認します。configuration.ServerProtocol が「HTTPS」でない場合、ルールは NON_COMPLIANT です。 | AWS::DataSync::LocationObjectStorage |
| DATASYNC_TASK_DATA_VERIFICATION_ENABLED | AWS DataSync タスクで、転送の終了時に追加の検証を実行するためのデータ検証が有効になっているかどうかを確認します。configuration.Options.VerifyMode が「NONE」の場合、ルールは NON_COMPLIANT です。 | AWS::DataSync::Task |
| DATASYNC_TASK_LOGGING_ENABLED | AWS DataSync タスクで Amazon CloudWatch ログ記録が有効になっているかどうかを確認します。 AWS DataSync タスクで Amazon CloudWatch ログ記録が有効になっていない場合、またはログ記録レベルが指定したログ記録レベルと等しくない場合、ルールは NON_COMPLIANT です。 | AWS::DataSync::Task |
| DATASYNC_TASK_TAGGED | AWS DataSync タスクにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::DataSync::Task |
| DAX_ENCRYPTION_ENABLED | Amazon DynamoDB Accelerator (DAX) クラスターが暗号化されているかどうかを確認します。DAX クラスターが暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::DAX::Cluster |
| DAX_TLS_ENDPOINT_ENCRYPTION | Amazon DynamoDB Accelerator (DAX) クラスターの ClusterEndpointEncryptionType が TLS に設定されているかどうかを確認します。DAX クラスターが Transport Layer Security (TLS) によって暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::DAX::Cluster |
| DB_INSTANCE_BACKUP_ENABLED | RDS DB インスタンスでバックアップが有効になっているかどうかを確認します。オプションで、バックアップ保存期間およびバックアップウィンドウを確認します。 | AWS::RDS::DBInstance |
| DESIRED_INSTANCE_TENANCY | EC2 インスタンスの「テナンシー」値を確認します。また、AMI ID がこれらの AMI から起動するように指定されているかどうか、ホスト ID がそれらの専用ホストから起動するように指定されているかどうかも確認します。インスタンスがリスト内のホストと AMI (指定されている場合) と一致する場合、ルールは COMPLIANT になります。 | AWS::EC2::Instance |
| DESIRED_INSTANCE_TYPE | EC2 インスタンスが特定のインスタンスタイプであるかどうかを確認します。EC2 インスタンスがパラメータリストで指定されていない場合、ルールは NON_COMPLIANT です。サポートされる EC2 インスタンスタイプのリストについては、Linux インスタンス用の EC2 ユーザーガイドのインスタンスタイプを参照してください。 | AWS::EC2::Instance |
| DMS_AUTO_MINOR_VERSION_UPGRADE_CHECK | AWS Database Migration Service (AWS DMS) レプリケーションインスタンスで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。 AWS DMS レプリケーションインスタンスにマイナーバージョンの自動アップグレードが設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::DMS::ReplicationInstance |
| DMS_ENDPOINT_SSL_CONFIGURED | AWS Database Migration Service (AWS DMS) エンドポイントが SSL 接続で設定されているかどうかを確認します。DMS に SSL AWS 接続が設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::DMS::Endpoint |
| DMS_ENDPOINT_TAGGED | DMS AWS エンドポイントにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::DMS::Endpoint |
| DMS_MONGO_DB_AUTHENTICATION_ENABLED | MongoDb データストアの AWS Database Migration Service (AWS DMS) エンドポイントで、パスワードベースの認証とアクセスコントロールが有効になっているかどうかを確認します。パスワードベースの認証とアクセスコントロールが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::DMS::Endpoint |
| DMS_NEPTUNE_IAM_AUTHORIZATION_ENABLED | Amazon Neptune AWS データベースの Database Migration Service (AWS DMS) エンドポイントが IAM 認可で設定されているかどうかを確認します。Neptune がターゲットである DMS AWS エンドポイントで IamAuthEnabled が false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::DMS::Endpoint |
| DMS_REDIS_TLS_ENABLED | Redis データストアの AWS Database Migration Service (AWS DMS) エンドポイントで、他のエンドポイントと通信されるデータの TLS/SSL 暗号化が有効になっているかどうかを確認します。TLS/SSL が有効でない場合、ルールは NON_COMPLIANT です。 | AWS::DMS::Endpoint |
| DMS_REPLICATION_INSTANCE_MULTI_AZ_ENABLED | AWS Database Migration Service (DMS) レプリケーションインスタンスに複数のアベイラビリティーゾーンが設定されているかどうかを確認します。DMS レプリケーションインスタンスが複数のアベイラビリティーゾーンを使用するように設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::DMS::ReplicationInstance |
| DMS_REPLICATION_NOT_PUBLIC | AWS Database Migration Service (AWS DMS) レプリケーションインスタンスがパブリックかどうかを確認します。PubliclyAccessible フィールドが true に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::DMS::ReplicationInstance |
| DMS_REPLICATION_TASK_SOURCEDB_LOGGING | ソースデータベースの DMS AWS レプリケーションタスクで有効な重要度レベルでログ記録が有効になっているかどうかを確認します。ログ記録が有効にされていない場合、またはソースデータベースの DMS レプリケーションタスクのログの重要度レベルが有効でもない場合、ルールは NON_COMPLIANT です。 | AWS::DMS::ReplicationTask |
| DMS_REPLICATION_TASK_TAGGED | DMS AWS レプリケーションタスクにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::DMS::ReplicationTask |
| DMS_REPLICATION_TASK_TARGETDB_LOGGING | ターゲットデータベースの DMS AWS レプリケーションタスクイベントの有効な重要度レベルでログ記録が有効になっているかどうかを確認します。ログ記録が有効にされていない場合、またはターゲットデータベースのレプリケーションタスクのログ記録の重要度レベルが有効でもない場合、ルールは NON_COMPLIANT です。 | AWS::DMS::ReplicationTask |
| DOCDB_CLUSTER_AUDIT_LOGGING_ENABLED | Amazon DocumentDB (MongoDB 互換) インスタンスクラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっているかどうかを確認します。Amazon DocumentDB インスタンスクラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| DOCDB_CLUSTER_BACKUP_RETENTION_CHECK | Amazon Document DB クラスターの保持期間が特定の日数に設定されているかどうかを確認します。保持期間がパラメータで指定された値よりも短い場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| DOCDB_CLUSTER_DELETION_PROTECTION_ENABLED | Amazon DocumentDB (MongoDB 互換) クラスターで削除保護が有効になっているかどうかを確認します。Amazon DocumentDB クラスターの deletionProtection フィールドが false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| DOCDB_CLUSTER_ENCRYPTED | Amazon DocumentDB (MongoDB 互換) クラスターでストレージ暗号化が有効になっているかどうかを確認します。ストレージの暗号化が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| DOCDB_CLUSTER_ENCRYPTED_IN_TRANSIT | Amazon DocumentDB クラスターが、転送中に暗号化を使用するよう設定されているかをチェックします。パラメータグループが「同期中」でない場合、または TLS パラメータが「無効」またはexcludeTlsParametersの値に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| DOCDB_CLUSTER_SNAPSHOT_PUBLIC_PROBICTED | Amazon DocumentDB 手動クラスタースナップショットがパブリックかどうかを確認します。Amazon DocumentDB 手動クラスタースナップショットがパブリックである場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBClusterSnapshot |
| DYNAMODB_AUTOSCALING_ENABLED | Amazon DynamoDB テーブルまたはグローバルセカンダリインデックスが、Auto Scaling が有効なオンデマンドモードまたはプロビジョニングモードを使用して、読み取り/書き込み容量を処理できるかどうかを確認します。Auto Scaling が有効でない場合、ルールは NON_COMPLIANT です。 | AWS::DynamoDB::Table |
| DYNAMODB_IN_BACKUP_PLAN | Amazon DynamoDB テーブルが AWS Backup Plans に存在するかどうかを確認します。Amazon DynamoDB テーブルが AWS Backup プランに存在しない場合、ルールは NON_COMPLIANT です。 | AWS::DynamoDB::Table |
| DYNAMODB_LAST_BACKUP_RECOVERY_POINT_CREATED | Amazon DynamoDB テーブルのリカバリポイントが指定した期間内に作成されたかどうかを確認します。DynamoDB テーブルに対応するリカバリポイントが指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::DynamoDB::Table |
| DYNAMODB_MEETS_RESTORE_TIME_TARGET | Amazon DynamoDB テーブルの復元時間が、指定された期間と一致しているかどうかを確認します。DynamoDB テーブルの LatestRestoreExecutionTimeMinutes が maxRestoreTime の値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::DynamoDB::Table |
| DYNAMODB_PITR_ENABLED | ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっているかどうかを確認します。PITR が DynamoDB テーブルに対して有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::DynamoDB::Table |
| DYNAMODB_RESOURCES_PROTECTED_BY_BACKUP_PLAN | Amazon DynamoDB テーブルがバックアップ計画で保護されているかどうかを確認します。DynamoDB テーブルがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::DynamoDB::Table |
| DYNAMODB_TABLE_DELETION_PROTECTION_ENABLED | Amazon DynamoDB テーブルの削除保護が有効に設定されているかどうかを確認します。テーブルの削除保護が無効になっている場合、ルールは NON_COMPLIANT です。 | AWS::DynamoDB::Table |
| DYNAMODB_TABLE_ENCRYPTED_KMS | Amazon DynamoDB テーブルが AWS Key Management Service (KMS) で暗号化されているかどうかを確認します。Amazon DynamoDB テーブルが KMS で暗号化されていない場合、ルールは NON_COMPLIANT AWS です。暗号化された KMS キーがkmsKeyArns入力パラメータに存在しない場合も、ルールは NON_COMPLIANT AWS です。 | AWS::DynamoDB::Table |
| DYNAMODB_TABLE_ENCRYPTION_ENABLED | Amazon DynamoDB テーブルが暗号化されているかどうか、およびそのステータスを確認します。ステータスが有効または有効化中の場合、ルールは COMPLIANT です。 | AWS::DynamoDB::Table |
| DYNAMODB_THROUGHPUT_LIMIT_CHECK | DynamoDB のプロビジョンドスループットがアカウントの上限に近づいているかどうかを確認します。デフォルトでは、このルールはプロビジョンドスループットがアカウント上限の 80% のしきい値を超えているかどうかを確認します。 | - |
| EBS_IN_BACKUP_PLAN | Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のバックアッププランに追加されているかどうかを確認します。Amazon EBS ボリュームが Backup プランに含まれていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Volume |
| EBS_LAST_BACKUP_RECOVERY_POINT_CREATED | Amazon Elastic Block Store (Amazon EBS) のリカバリポイントが作成されたかどうかを確認します。Amazon EBS ボリュームに対応するリカバリポイントが指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Volume |
| EBS_MEETS_RESTORE_TIME_TARGET | Amazon Elastic Block Store (Amazon EBS) ボリュームの復元時間が、指定された期間と一致しているかどうかを確認します。Amazon EBS ボリュームの LatestRestoreExecutionTimeMinutes が maxRestoreTime の値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Volume |
| EBS_OPTIMIZED_INSTANCE | Amazon EBS 最適化できる Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに対して Amazon EBS 最適化が有効になっているかどうかを確認します。EBS 最適化が可能な AmazonEC2 インスタンスに対して EBS 最適化が有効化されていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EBS_RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT | Amazon Elastic Block Store (Amazon EBS) ボリュームが論理エアギャップボールトにあるかどうかを確認します。Amazon EBS ボリュームが指定された期間内に論理エアギャップボールトにない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Volume |
| EBS_RESOURCES_PROTECTED_BACKUP_PLAN | Amazon Elastic Block Store (Amazon EBS) ボリュームが、バックアップ計画に追加されているかどうかを確認します。Amazon EBSボリュームがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Volume |
| EBS_SNAPSHOT_BLOCK_PUBLIC_ACCESS | AWS リージョンの Amazon EBS スナップショットに対してパブリックアクセスのブロックが有効になっているかどうかを確認します。 AWS リージョン内の EBS スナップショットのすべてのパブリック共有でブロックパブリックアクセスが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::SnapshotBlockPublicAccess |
| EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK | Amazon Elastic Block Store (Amazon EBS) スナップショットがパブリックに復元不可能になっているかどうかを確認します。RestorableByUserIds フィールドを持つ 1 つ以上のスナップショットが「all」に設定されている場合、つまり Amazon EBS スナップショットがパブリックである場合、ルールは NON_COMPLIANT です。 | - |
| EC2_CAPACITY_RESERVATION_TAGGED | Amazon EC2 キャパシティ予約にタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::CapacityReservation |
| EC2_CARRIER_GATEWAY_TAGGED | Amazon EC2 キャリアゲートウェイにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::CarrierGateway |
| EC2_CLIENT_VPN_CONNECTION_LOG_ENABLED | AWS クライアント VPN エンドポイントでクライアント接続のログ記録が有効になっているかどうかを確認します。「Configuration.ConnectionLogOptions.Enabled」が False に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::EC2::ClientVpnEndpoint |
| EC2_CLIENT_VPN_ENDPOINT_TAGGED | Amazon EC2 クライアント VPN エンドポイントにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::ClientVpnEndpoint |
| EC2_CLIENT_VPN_NOT_AUTHORIZE_ALL | AWS クライアント VPN 認可ルールがすべてのクライアントの接続アクセスを許可するかどうかを確認します。「AccessAll」が存在し、true に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::EC2::ClientVpnEndpoint |
| EC2_DHCP_OPTIONS_TAGGED | Amazon EC2 DHCP オプションにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::DHCPOptions |
| EC2_EBS_ENCRYPTION_BY_DEFAULT | Amazon Elastic Block Store (EBS) 暗号化がデフォルトで有効になっているかどうかを確認します。暗号化が有効でない場合、ルールは NON_COMPLIANT です。 | - |
| EC2_ENIS_SOURCE_DESTINATION_CHECK_ENABLED | ユーザーによって管理される EC2 ENI で送信元/送信先チェックが有効になっているかどうかを確認します。これらの ENI の「lambda」、「aws_codestar_connections_managed」、「branch」、「efa」、「interface」、「quicksight」のソース/宛先チェックが無効になっている場合、ルールは NON_COMPLIANT です。 | AWS::EC2::NetworkInterface |
| EC2_FLEET_TAGGED | Amazon EC2 Fleet にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::EC2Fleet |
| EC2_IMDSV2_CHECK | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのメタデータのバージョンが、Instance Metadata Service Version 2 (IMDSv2) で設定されているかどうかを確認します。HttpTokens が「optional」に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_INSTANCE_DETAILED_MONITORING_ENABLED | 詳細モニタリングが EC2 インスタンスに対して有効になっているかどうかを確認します。詳細モニタリングが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_INSTANCE_LAUNCHED_WITH_ALLOWED_AMI | 実行中または停止中の EC2 インスタンスが、許可された AMI 基準を満たす Amazon マシンイメージ (AMI) で起動されたかどうかを確認します。AMI が許可された AMI 基準を満たしておらず、許可された AMI 設定が無効になっていない場合、ルールは NON_COMPLIANT となります。 | AWS::EC2::Instance |
| EC2_INSTANCE_MANAGED_BY_SSM | Amazon EC2 インスタンスが AWS Systems Manager エージェント (SSM エージェント) によって管理されているかどうかを確認します。EC2 インスタンスが実行されていて SSM エージェントを停止している場合、または EC2 インスタンスが実行されていて SSM エージェントが終了している場合、ルールは NON_COMPLIANT です。 | AWS::EC2::InstanceAWS::SSM::ManagedInstanceInventory |
| EC2_INSTANCE_MULTIPLE_ENI_CHECK | Amazon Elastic Compute Cloud (Amazon EC2) で複数の Elastic Network Interfaces (ENI) または Elastic Fabric Adapters (EFA) が使用されているかどうかを確認します。Amazon EC2 インスタンスで複数のネットワークインターフェイスが使用されている場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| ec2-instance-no-public-ip | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリック IP の関連付けがあるかどうかを確認します。Amazon EC2 インスタンスの設定項目に publicIp フィールドが存在する場合、ルールは NON_COMPLIANT です。このルールは、IPv4 のみに適用されます。 | AWS::EC2::Instance |
| EC2_INSTANCE_PROFILE_ATTACHED | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされているかどうかを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_LAST_BACKUP_RECOVERY_POINT_CREATED | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのリカバリポイントが作成されたかどうかを確認します。Amazon EC2 インスタンスに対応するリカバリポイントが指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_LAUNCH_TEMPLATES_EBS_VOLUME_ENCRYPTED | Amazon EC2 起動テンプレートで、アタッチされたすべての EBS ボリュームに対して暗号化が有効になっているかどうかを確認します。起動テンプレートで設定された EBS ボリュームで暗号化が False に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::EC2::LaunchTemplate |
| EC2_LAUNCH_TEMPLATE_IMDSV2_CHECK | 現在設定されている Amazon EC2 起動テンプレートのデフォルトバージョンで、Amazon EC2 インスタンスメタデータサービス (IMDSv2) の V2 を使用するために、新しく起動されたインスタンスが必要かどうかを確認します。「メタデータバージョン」が V2 (IMDSv2) として指定されていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::LaunchTemplate |
| EC2_LAUNCH_TEMPLATE_PUBLIC_IP_DISABLED | Amazon EC2 起動テンプレートが、ネットワークインターフェイスにパブリック IP アドレスを割り当てるように設定されているかどうかを確認します。EC2 起動テンプレートのデフォルトバージョンで、「AssociatePublicIpAddress」が「true」に設定されているネットワークが 1 つまたは複数ある場合、ルールは NON_COMPLIANT です。 | AWS::EC2::LaunchTemplate |
| EC2_LAUNCH_TEMPLATE_TAGGED | Amazon EC2 起動テンプレートにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::LaunchTemplate |
| EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED | 指定したアプリケーションのいずれもインスタンスにインストールされていないかどうかを確認します。必要に応じて、バージョンを指定します。新しいバージョンは拒否リストに記載されません。オプションで、プラットフォームを指定すると、このプラットフォームを実行しているインスタンスにのみルールが適用されます。 | AWS::SSM::ManagedInstanceInventory |
| EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED | すべての指定したアプリケーションが、インスタンスにインストールされているかどうかを確認します。オプションで、使用可能な最小バージョンを指定します。また、そのプラットフォームを実行中のインスタンスのみにルールを適用するプラットフォームを指定できます。 | AWS::SSM::ManagedInstanceInventory |
| EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK | インスタンスでの関連付けの実行後に、 AWS Systems Manager の関連付けコンプライアンスのステータスが COMPLIANT または NON_COMPLIANT かどうかを確認します。フィールドステータスが COMPLIANT の場合は、ルールに準拠しています。関連付けの詳細については、「関連付けとは何ですか?」を参照してください。 | AWS::SSM::AssociationCompliance |
| EC2_MANAGEDINSTANCE_INVENTORY_BLACKLISTED | Amazon EC2 Systems Manager が管理するインスタンスが、ブラックリストに記載されたインベントリタイプを収集するように設定されているかどうかを確認します。 | AWS::SSM::ManagedInstanceInventory |
| EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK | インスタンスにパッチをインストールした後、 AWS Systems Manager のパッチコンプライアンスのコンプライアンスステータスが COMPLIANT または NON_COMPLIANT かどうかを確認します。フィールドステータスが COMPLIANT の場合は、ルールに準拠しています。 | AWS::SSM::PatchCompliance |
| EC2_MANAGEDINSTANCE_PLATFORM_CHECK | EC2 マネージドインスタンスの設定が希望どおりであるかどうかを確認します。 | AWS::SSM::ManagedInstanceInventory |
| EC2_MEETS_RESTORE_TIME_TARGET | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの復元時間が、指定された期間と一致しているかどうかを確認します。Amazon EC2 インスタンスの LatestRestoreExecutionTimeMinutes が maxRestoreTime の値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_NETWORK_INSIGHTS_ACCESS_SCOPE_ANALYSIS_TAGGED | Amazon EC2 ネットワークインサイトのアクセススコープ分析にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::NetworkInsightsAccessScopeAnalysis |
| EC2_NETWORK_INSIGHTS_ACCESS_SCOPE_TAGGED | Amazon EC2 ネットワークインサイトのアクセススコープにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::NetworkInsightsAccessScope |
| EC2_NETWORK_INSIGHTS_ANALYSIS_TAGGED | Amazon EC2 ネットワークインサイト分析にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::NetworkInsightsAnalysis |
| EC2_NETWORK_INSIGHTS_PATH_TAGGED | Amazon EC2 ネットワークインサイトパスにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::NetworkInsightsPath |
| EC2_NO_AMAZON_KEY_PAIR | Amazon Elastic Compute Cloud (EC2) インスタンスがアマゾンキーペアを使用して起動されているかどうかを確認します。実行中の EC2 インスタンスが key pair で起動されている場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_PARAVIRTUAL_INSTANCE_CHECK | EC2 インスタンスの仮想化タイプが準仮想化かどうかをチェックします。「virtualizationType」が「paravirtual」に設定されている場合、EC2 インスタンスのこのルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_PREFIX_LIST_TAGGED | Amazon EC2 マネージドプレフィックスリストにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::PrefixList |
| EC2_RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが論理エアギャップボールトにあるかどうかを確認します。Amazon EC2 インスタンスが指定された期間内に論理エアギャップボールトにない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_RESOURCES_PROTECTED_BACKUP_PLAN | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスがバックアップ計画で保護されているかどうかを確認します。Amazon EC2 インスタンスがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| ec2-security-group-attached-to-eni | セキュリティグループが Amazon Elastic Compute Cloud (EC2) インスタンスまたは Elastic Network Interface (ENI) にアタッチされていることを確認します。セキュリティグループが EC2 インスタンスまたは ENI に関連付けられていない場合、ルールは NON_COMPLIANT を返します。 | AWS::EC2::SecurityGroup |
| ec2-security-group-attached-to-eni-periodic | デフォルトではないセキュリティグループが Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。そのセキュリティグループが ENI に関連付けられていない場合、ルールは NON_COMPLIANT になります。呼び出し元アカウントが所有していないセキュリティグループは NOT_APPLICABLE と評価されます。 | AWS::EC2::SecurityGroup |
| EC2_SPOT_FLEET_REQUEST_CT_ENCRYPTION_AT_REST | Amazon EC2 スポットフリートリクエスト起動パラメータが、アタッチされた EBS ボリュームに対して暗号化が True に設定されているかどうかを確認します。EBS ボリュームの暗号化が False に設定されている場合、ルールは NON_COMPLIANT です。このルールは、起動テンプレートを使用してスポットフリートリクエストを評価しません。 | AWS::EC2::SpotFleet |
| EC2_STOPPED_INSTANCE | 許可されている日数よりも長く停止している Amazon Elastic Compute Cloud (Amazon EC2) インスタンスがあるかどうかを確認します。Amazon EC2 インスタンスの状態が、許可されている日数より長く停止している場合、またはその日数を判断できない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_TOKEN_HOP_LIMIT_CHECK | Amazon Elastic Compute Cloud (EC2) インスタンスメタデータに、希望する制限を下回る指定されたトークンホップ制限があるかどうかを確認します。ホップ制限値が意図した制限を超える場合、ルールはインスタンスに対して NON_COMPLIANT です。 | AWS::EC2::Instance |
| EC2_TRAFFIC_MIRROR_FILTER_DESCRIPTION | Amazon EC2 トラフィックミラーフィルターに説明があるかどうかを確認します。configuration.Description が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::TrafficMirrorFilter |
| EC2_TRAFFIC_MIRROR_FILTER_TAGGED | Amazon EC2 トラフィックミラーフィルターにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::TrafficMirrorFilter |
| EC2_TRAFFIC_MIRROR_SESSION_DESCRIPTION | Amazon EC2 トラフィックミラーセッションに説明があるかどうかを確認します。configuration.Description が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::TrafficMirrorSession |
| EC2_TRAFFIC_MIRROR_SESSION_TAGGED | Amazon EC2 トラフィックミラーセッションにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::TrafficMirrorSession |
| EC2_TRAFFIC_MIRROR_TARGET_DESCRIPTION | Amazon EC2 トラフィックミラーターゲットに説明があるかどうかを確認します。configuration.Description が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::TrafficMirrorTarget |
| EC2_TRAFFIC_MIRROR_TARGET_TAGGED | Amazon EC2 トラフィックミラーターゲットにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::TrafficMirrorTarget |
| EC2_TRANSIT_GATEWAY_AUTO_VPC_ATTACH_DISABLED | Amazon Elastic Compute Cloud (Amazon EC2) トランジットゲートウェイで「AutoAcceptSharedAttachments」が有効になっているかどうかを確認します。「AutoAcceptSharedAttachments」が「有効」に設定されている場合、ルールは、トランジットゲートウェイに対して NON_COMPLIANT になります。 | AWS::EC2::TransitGateway |
| EC2_TRANSIT_GATEWAY_MULTICAST_DOMAIN_TAGGED | Amazon EC2 Transit Gateway マルチキャストドメインにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::TransitGatewayMulticastDomain |
| EC2_VOLUME_INUSE_CHECK | EBS ボリュームが EC2 インスタンスにアタッチされているかどうかを確認します。オプションで、インスタンスの削除時に EBS ボリュームが削除対象としてマークされるかどうかを確認します。 | AWS::EC2::Volume |
| EC2_VPN_CONNECTION_LOGGING_ENABLED | AWS Site-to-Site VPN 接続で、両方のトンネルで Amazon CloudWatch ログ記録が有効になっているかどうかを確認します。Site-to-Site VPN 接続のいずれかまたは両方のトンネルで CloudWatch ログが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::VPNConnection |
| EC2_VPN_CONNECTION_TAGGED | Amazon EC2 VPN 接続にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EC2::VPNConnection |
| ECR_PRIVATE_IMAGE_SCANNING_ENABLED | プライベート Amazon Elastic Container Registry (Amazon ECR) リポジトリでイメージスキャンが有効化されているかどうかを確認します。プライベート Amazon ECR リポジトリのスキャン頻度がプッシュ時のみスキャンまたは継続的スキャンでない場合、ルールは NON_COMPLIANT になります。イメージスキャンの有効化の詳細については、「Amazon ECR ユーザーガイド」の「イメージスキャン」を参照してください。 | AWS::ECR::Repository |
| ecr-private-lifecycle-policy-configured | プライベート Amazon Elastic Container Registry (ECR) リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されているかどうかを確認します。ECR プライベートリポジトリに対してライフサイクルポリシーが設定されていない場合、ルールは NON_COMPLIANT になります。 | AWS::ECR::Repository |
| ecr-private-tag-immutability-enabled | プライベート Amazon Elastic Container Registry (ECR) リポジトリでタグのイミュータビリティが有効化されているかどうかを確認します。プライベート ECR リポジトリに対してタグのイミュータビリティが有効化されていない場合、ルールは NON_COMPLIANT になります。 | AWS::ECR::Repository |
| ECR_REPOSITORY_CMK_ENCRYPTION_ENABLED | ECR リポジトリがカスタマーマネージド KMS キーを使用して保管時の暗号化がなされているかどうかを確認します。リポジトリが AES256 またはデフォルトの KMS キー ('aws/ecr') を使用して暗号化されている場合、このルールは NON_COMPLIANT です。 | AWS::ECR::Repository |
| ECR_REPOSITORY_TAGGED | Amazon ECR リポジトリにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::ECR::Repository |
| ECS_AWSVPC_NETWORKING_ENABLED | アクティブな ECSTaskDefinitions のネットワークモードが、「awsvpc」に設定されているかどうかを確認します。アクティブな ECSTaskDefinitions が「awsvpc」に設定されていない場合、このルールは NON_COMPLIANT となります。 | AWS::ECS::TaskDefinition |
| ECS_CAPACITY_PROVIDER_TAGGED | Amazon ECS キャパシティプロバイダーにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::ECS::CapacityProvider |
| ECS_CAPACITY_PROVIDER_TERMINATION_CHECK | Auto Scaling グループを含む Amazon ECS キャパシティープロバイダーでマネージド終了保護が有効になっているかどうかを確認します。ECS キャパシティープロバイダーでマネージド終了保護が無効になっている場合、このルールは NON_COMPLIANT です。 | AWS::ECS::CapacityProvider |
| ecs-containers-nonprivileged | ECSTaskDefinitions のコンテナの定義内にある特権パラメータが「true」に設定されているかどうかを確認します。特権パラメータが「true」の場合、ルールは NON_COMPLIANT になります。 | AWS::ECS::TaskDefinition |
| ecs-containers-readonly-access | Amazon Elastic Container Service (Amazon ECS) コンテナで、そのルートファイルシステムに対して読み取り専用アクセス権のみが設定されていることを確認します。ECSTaskDefinitions のコンテナの定義で readonlyRootFilesystem パラメータが「false」に設定されている場合、ルールは NON_COMPLIANT になります。 | AWS::ECS::TaskDefinition |
| ECS_CONTAINER_INSIGHTS_ENABLED | Amazon Elastic Container Service クラスターでコンテナインサイトが有効になっているかどうかを確認します。コンテナインサイトが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::ECS::Cluster |
| ECS_FARGATE_LATEST_PLATFORM_VERSION | ECS Fargate サービスが最新のプラットフォームバージョンに設定されているかどうかを確認します。Fargate 起動タイプの PlatformVersion が LATEST に設定されていない場合、またはパラメータとして LatestLinuxVersion もlatestWindowsVersionも指定されていない場合、ルールは NON_COMPLIANT になります。 | AWS::ECS::Service |
| ecs-no-environment-secrets | シークレットがコンテナ環境変数として渡されるかどうかを確認します。1 つ、または複数の環境変数キーが「secretKeys」パラメータにリストされているキーに一致する場合、ルールは NON_COMPLIANT になります (Amazon S3 などの他の場所からの環境変数を除く)。 | AWS::ECS::TaskDefinition |
| ECS_TASK_DEFINITION_EFS_ENCRYPTION_ENABLED | EFS ボリュームを持つ Amazon ECS タスク定義で転送時の暗号化が有効になっているかどうかを確認します。ECS タスク定義にトランジット暗号化が有効になっていない EFS ボリュームが含まれている場合、ルールは NON_COMPLIANT です。 | AWS::ECS::TaskDefinition |
| ECS_TASK_DEFINITION_LINUX_USER_NON_ROOT | Amazon ECS タスク定義の最新のアクティブなリビジョンで、Linux コンテナが非ルートユーザーとして実行されるように設定されているかどうかを確認します。ルートユーザーが指定されている場合、またはコンテナにユーザー設定がない場合、ルールは NON_COMPLIANT です。 | AWS::ECS::TaskDefinition |
| ECS_TASK_DEFINITION_LOG_CONFIGURATION | アクティブな ECS タスクの定義に、logConfiguration が設定されているかどうかを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON_COMPLIANT になります。 | AWS::ECS::TaskDefinition |
| ecs-task-definition-memory-hard-limit | Amazon Elastic Container Service (ECS) のタスク定義に、そのコンテナの定義に対するメモリ制限が設定されているかどうかを確認します。1 つのコンテナの定義に「memory」パラメータが存在しない場合、タスク定義のルールは NON_COMPLIANT になります。 | AWS::ECS::TaskDefinition |
| ECS_TASK_DEFINITION_NETWORK_MODE_NOT_HOST | Amazon ECS タスク定義の最新のアクティブなリビジョンがホストネットワークモードを使用しているかどうかを確認します。ECS タスク定義の最新となるアクティブなリビジョンがホストネットワークモードを使用している場合、ルールは NON_COMPLIANT です。 | AWS::ECS::TaskDefinition |
| ecs-task-definition-nonroot-user | ECSTaskDefinitions が、実行先の Amazon Elastic Container Service (Amazon ECS) の EC2 起動タイプコンテナにユーザーを指定するかどうかを確認します。「user」パラメータが存在しない、または「root」に設定されている場合、ルールは NON_COMPLIANT になります。 | AWS::ECS::TaskDefinition |
| ecs-task-definition-pid-mode-check | ECSTaskDefinitions が、ホストのプロセス名前空間をその Amazon Elastic Container Service (Amazon ECS) コンテナと共有するように設定されているかどうかを確認します。pidMode パラメータが「host」に設定されている場合、ルールは NON_COMPLIANT になります。 | AWS::ECS::TaskDefinition |
| ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK | ホストネットワークモードの Amazon ECS タスク定義に、コンテナ定義に特権または非ルートがあるかどうかを確認します。タスク定義の最新のアクティブなリビジョンに privileged=false (または null) および user=root (または null) がある場合、ルールは NON_COMPLIANT です。 | AWS::ECS::TaskDefinition |
| ECS_TASK_DEFINITION_WINDOWS_USER_NON_ADMIN | Amazon ECS タスク定義の最新のアクティブなリビジョンが、管理者以外のユーザーとして実行するように Windows コンテナを設定するかどうかを確認します。デフォルトの管理者ユーザーが指定されている場合、またはコンテナにユーザー設定がない場合、ルールは NON_COMPLIANT です。 | AWS::ECS::TaskDefinition |
| EFS_ACCESS_POINT_ENFORCE_ROOT_DIRECTORY | Amazon Elastic File System (Amazon EFS) アクセスポイントが、ルートディレクトリを適用するよう設定されているかどうかを確認します。「Path」の値が「'/'」(ファイルシステムのデフォルトのルートディレクトリ) に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::EFS::AccessPoint |
| EFS_ACCESS_POINT_ENFORCE_USER_IDENTITY | Amazon Elastic File System (Amazon EFS) アクセスポイントが、ユーザー ID を適用するよう設定されているかどうかを確認します。「PosixUser」が定義されていない場合、またはパラメータが提供され、対応するパラメータに一致するものがない場合、ルールは NON_COMPLIANT です。 | AWS::EFS::AccessPoint |
| EFS_AUTOMATIC_BACKUPS_ENABLED | Amazon Elastic File System (Amazon EFS) ファイルシステムの自動バックアップが有効になっているかどうかを確認します。「BackupPolicy.Status」が DISABLED に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::EFS::FileSystem |
| efs-encrypted-check | Amazon Elastic File System (Amazon EFS) が AWS Key Management Service () を使用してファイルデータを暗号化するように設定されているかどうかを確認しますAWS KMS。暗号化されたキーがDescribeFileSystemsで false に設定されている場合、またはDescribeFileSystemsのKmsKeyIdキーがKmsKeyIdパラメータと一致 しない場合、ルールは NON_COMPLIANT です。 | AWS::EFS::FileSystem |
| EFS_FILESYSTEM_CT_ENCRYPTED | Amazon Elastic File System (Amazon EFS) が AWS Key Management Service (AWS KMS) でデータを暗号化するかどうかを確認します。ファイルシステムが暗号化されていない場合、ルールは NON_COMPLIANT です。任意で、ファイルシステムが指定された KMS キーで暗号化されていないかどうかを確認できます。 | AWS::EFS::FileSystem |
| EFS_FILE_SYSTEM_TAGGED | Amazon Elastic File System ファイルシステムにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EFS::FileSystem |
| EFS_IN_BACKUP_PLAN | Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のバックアッププランに追加されているかどうかを確認します。EFS ファイルシステムがバックアッププランに含まれていない場合、ルールは NON_COMPLIANT です。 | AWS::EFS::FileSystem |
| EFS_LAST_BACKUP_RECOVERY_POINT_CREATED | Amazon Elastic File System (Amazon EFS) ファイルシステムのリカバリポイントが作成されたかどうかを確認します。Amazon EFS ファイルシステムに対応するリカバリポイントが指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::EFS::FileSystem |
| EFS_MEETS_RESTORE_TIME_TARGET | Amazon Elastic File System (Amazon EFS) ファイルシステムの復元時間が、指定された期間と一致しているかどうかを確認します。Amazon EFS ファイルシステムの LatestRestoreExecutionTimeMinutes が maxRestoreTime の値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::EFS::FileSystem |
| EFS_MOUNT_TARGET_PUBLIC_ACCESSIBLE | Amazon Elastic File System (Amazon EFS) が、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けられているかどうかを確認します。Amazon EFS マウントターゲットが起動時にパブリック IP アドレスを割り当てるサブネットに関連付けられている場合、ルールは NON_COMPLIANT です。 | AWS::EFS::FileSystem |
| EFS_RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT | Amazon Elastic File System (Amazon EFS) ファイルシステムが論理エアギャップボールトにあるかどうかを確認します。Amazon EFS ファイルシステムが指定された期間内に論理エアギャップボールトにない場合、ルールは NON_COMPLIANT です。 | AWS::EFS::FileSystem |
| RESOURCES_PROTECTED_BACKUP_PLAN | Amazon Elastic File System (Amazon EFS) ファイルシステムがバックアップ計画で保護されているかどうかを確認します。EFS ファイルがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::EFS::FileSystem |
| EIP_ATTACHED | AWS アカウントに割り当てられたすべての Elastic IP アドレスが EC2 インスタンスまたは使用中の Elastic Network Interface にアタッチされているかどうかを確認します。Elastic IP アドレスの「AssociationId」が null の場合、ルールは NON_COMPLIANT です。 | AWS::EC2::EIP |
| EKS_ADDON_TAGGED | Amazon EKS アドオンにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EKS::Addon |
| EKS_CLUSTER_LOGGING_ENABLED | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されているかどうかを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::EKS::Cluster |
| EKS_CLUSTER_LOG_ENABLED | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されているかどうかを確認します。Amazon EKS クラスターのログ記録が有効になっていない場合、またはログ記録が上記のログタイプを使用して有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::EKS::Cluster |
| eks-cluster-oldest-supported-version | Amazon Elastic Kubernetes Service (EKS) クラスターが、サポートされているバージョンで最も古いものを実行しているかどうかを確認します。EKS クラスターがサポートされている最も古いバージョンを実行している場合 (パラメータ 「oldestVersionSupported」に等しい)、ルールは NON_COMPLIANT になります。 | AWS::EKS::Cluster |
| EKS_CLUSTER_SECRETS_ENCRYPTED | Amazon EKS クラスターが KMS を使用して暗号化された Kubernetes AWS シークレットを持つように設定されているかどうかを確認します。EKS クラスターに encryptionConfig リソースがない場合、または encryptionConfig がシークレットにリソースとして命名していない場合、このルールは NON_COMPLIANT です。 | AWS::EKS::Cluster |
| eks-cluster-supported-version | Amazon Elastic Kubernetes Service (EKS) クラスターが、サポートされている Kubernetes バージョンを実行しているかどうかを確認します。サポートされていないバージョン (パラメータ「oldestVersionSupported」未満) を EKS クラスターが使用している場合、このルールは NON_COMPLIANT になります。 | AWS::EKS::Cluster |
| EKS_ENDPOINT_NO_PUBLIC_ACCESS | Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセス可能になっていないかどうかを確認します。エンドポイントがパブリックである場合、ルールは NON_COMPLIANT です。 | AWS::EKS::Cluster |
| EKS_FARGATE_PROFILE_TAGGED | Amazon EKS Fargate プロファイルにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::EKS::FargateProfile |
| EKS_SECRETS_ENCRYPTED | Amazon Elastic Kubernetes Service クラスターが AWS Key Management Service (KMS) キーを使用して暗号化された Kubernetes シークレットを持つように設定されているかどうかを確認します。 | AWS::EKS::Cluster |
| ELASTICACHE_AUTOMATIC_BACKUP_CHECK_ENABLED | Amazon ElastiCache クラスター (Valkey または Redis OSS) で自動バックアップが有効になっているかどうかを確認します。自動バックアップが有効になっていないか、クラスターの SnapshotRetentionLimit が指定されたsnapshotRetentionPeriodより小さい場合、ルールは NON_COMPLIANT です。 | AWS::ElastiCache::CacheCluster |
| ELASTICACHE_AUTO_MINOR_VERSION_UPGRADE_CHECK | Amazon ElastiCache クラスターでマイナーバージョンの自動アップグレードが有効になっているかどうかを確認します。ElastiCache クラスターが Redis または Valkey エンジンを使用しており、「AutoMinorVersionUpgrade」が「true」に設定されていない場合、ルールは NON_COMPLIANT となります。 | AWS::ElastiCache::CacheCluster |
| ELASTICACHE_RBAC_AUTH_ENABLED | Amazon ElastiCache レプリケーショングループで RBAC 認証が有効になっているかどうかを確認します。Redis のバージョンが 6 以上で、「UserGroupIds」がない、空、または「allowedUserGroupIDs」パラメータで指定されたエントリと一致しない場合、このルールは NON_COMPLIANT になります。 | AWS::ElastiCache::ReplicationGroup |
| ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK | Amazon ElastiCache Redis クラスターで自動バックアップが有効になっているかどうかを確認します。Redis クラスターの SnapshotRetentionLimit がSnapshotRetentionPeriod パラメータより小さい場合、ルールは NON_COMPLIANT です。例えば、パラメータが 15 の場合、snapshotRetentionPeriod が 0 ~ 15 であれば、ルールは準拠していません。 | AWS::ElastiCache::CacheClusterAWS::ElastiCache::ReplicationGroup |
| ELASTICACHE_REPL_GRP_AUTO_FAILOVER_ENABLED | Amazon ElastiCache Redis レプリケーショングループで自動フェイルオーバーが有効になっているかどうかを確認します。‘AutomaticFailover’が‘enabled’に設定されていない場合、ElastiCache レプリケーショングループのルールは NON_COMPLIANT になります。 | AWS::ElastiCache::ReplicationGroup |
| ELASTICACHE_REPL_GRP_ENCRYPTED_AT_REST | Amazon ElastiCache レプリケーショングループで encryption-at-rest が有効になっているかどうかをチェックします。'AtRestEncryptionEnabled' が無効になっている場合、または KMS キー ARN が approvedKMSKeyArns パラメータと一致しない場合、ElastiCache レプリケーショングループのルールは NON_COMPLIANT になります。 | AWS::ElastiCache::ReplicationGroup |
| ELASTICACHE_REPL_GRP_ENCRYPTED_IN_TRANSIT | Amazon ElastiCache レプリケーショングループで encryption-in-transit が有効になっているかどうかをチェックします。‘TransitEncryptionEnabled’が‘false’に設定されていない場合、ElastiCache レプリケーショングループのルールは NON_COMPLIANT になります。 | AWS::ElastiCache::ReplicationGroup |
| ELASTICACHE_REPL_GRP_REDIS_AUTH_ENABLED | Amazon ElastiCacheレプリケーショングループで Redis AUTH が有効になっているかどうかを確認します。ElastiCache レプリケーショングループのノードの Redis バージョンが 6 未満で (バージョン 6 以上では Redis ACL を使用)、‘AuthToken’がないか、空/null の場合、ElastiCache レプリケーショングループのルールは NON_COMPLIANT となります。 | AWS::ElastiCache::ReplicationGroup |
| ELASTICACHE_SUBNET_GROUP_CHECK | Amazon ElastiCache クラスターがカスタムサブネットグループで設定されているかどうかを確認します。ElastiCache クラスターがデフォルトのサブネットグループを使用している場合、ルールは NON_COMPLIANT になります。 | AWS::ElastiCache::CacheCluster |
| ELASTICACHE_SUPPORTED_ENGINE_VERSION | ElastiCache クラスターが推奨エンジンバージョンと同じかそれ以降のバージョンを実行しているかどうかを確認します。ElastiCache クラスターの「Engine Vertion」が、指定されたエンジンの推奨バージョン未満の場合、ルールは NON_COMPLIANT になります。 | AWS::ElastiCache::CacheCluster |
| ELASTICBEANSTALK_APPLICATION_DESCRIPTION | Elastic Beanstalk AWS アプリケーションに説明があるかどうかを確認します。configuration.description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::ElasticBeanstalk::Application |
| ELASTICBEANSTALK_APPLICATION_VERSION_DESCRIPTION | Elastic Beanstalk AWS アプリケーションバージョンに説明があるかどうかを確認します。configuration.description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::ElasticBeanstalk::ApplicationVersion |
| ELASTICBEANSTALK_ENVIRONMENT_DESCRIPTION | Elastic Beanstalk AWS 環境の説明があるかどうかを確認します。configuration.description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::ElasticBeanstalk::Environment |
| elasticsearch-encrypted-at-rest | Amazon OpenSearch Service (以前は Elasticsearch と呼ばれていた) ドメインで保管時の暗号化設定が有効になっているかどうかを確認します。EncryptionAtRestOptions フィールドが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::Elasticsearch::Domain |
| elasticsearch-in-vpc-only | Amazon OpenSearch Service (以前は Elasticsearch と呼ばれていた) ドメインが Amazon Virtual Private Cloud (Amazon VPC) にあるかどうかを確認します。OpenSearch Service ドメインのエンドポイントがパブリックである場合、ルールは NON_COMPLIANT になります。 | AWS::Elasticsearch::Domain |
| ELASTICSEARCH_LOGS_TO_CLOUDWATCH | OpenSearch Service (以前の Elasticsearch) ドメインが CloudWatch Logs にログを送信するように設定されているかどうかを確認します。OpenSearch Service ドメインに対してログが有効になっている場合、ルールは COMPLIANT です。ログ記録が設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::Elasticsearch::Domain |
| ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK | Amazon OpenSearch Service ノードがエンドツーエンドで暗号化されていることを確認します。ノード間の暗号化がドメイン上で無効になっている場合、ルールは NON_COMPLIANT です。 | AWS::Elasticsearch::Domain |
| ELASTIC_BEANSTALK_LOGS_TO_CLOUDWATCH | Elastic Beanstalk 環境が Amazon CloudWatch Logs AWS にログを送信するように設定されているかどうかを確認します。「StreamLogs」の値が「false」の場合、ルールは NON_COMPLIANT です。 | AWS::ElasticBeanstalk::Environment |
| ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED | AWS Elastic Beanstalk 環境でマネージドプラットフォームの更新が有効になっているかどうかを確認します。ManagedActionsEnabledの値が true に設定されている場合、ルールは COMPLIANT です。ManagedActionsEnabledの値が false に設定されている場合、またはパラメータが指定されているもののその値が既存の設定と一致しない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticBeanstalk::Environment |
| ELBV2_ACM_CERTIFICATE_REQUIRED | Application Load Balancer と Network Load Balancer に、 AWS Certificate Manager (ACM) の証明書を使用するように設定されたリスナーがあるかどうかを確認します。少なくとも 1 つのロードバランサーに、ACM からの証明書を使用しないよう設定されている、または ACM 証明書とは異なる証明書を使用して設定されているリスナーが少なくとも 1 つある場合、このルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| ELBV2_LISTENER_ENCRYPTION_IN_TRANSIT | ロードバランサーのリスナーが HTTPS または TLS 終端で設定されているかどうかを確認します。リスナーが HTTPS または TLS 終端で設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::Listener |
| ELBV2_MULTIPLE_AZ | Elastic ロードバランサー V2 (アプリケーション、ネットワーク、またはゲートウェイロードバランサー) が複数のアベイラビリティーゾーン (AZ) にマッピングされているかどうかを確認します。Elastic ロードバランサー V2 が 2 未満の AZ にマッピングされている場合、ルールは NON_COMPLIANT です。詳細については、「Application Load Balancer のアベイラビリティーゾーン」を参照してください。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| ELBV2_PREDEFINED_SECURITY_POLICY_SSL_CHECK | Application Load Balancer (ALB) または Network Load Balancer (NLB) のリスナーが特定のセキュリティポリシーを使用しているかどうかを確認します。ALB の HTTPS リスナーまたは NLB の TLS リスナーが指定したセキュリティポリシーを使用していない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::Listener |
| ELB_ACM_CERTIFICATE_REQUIRED | Classic Load Balancer が が提供する SSL 証明書を使用しているかどうかを確認します AWS Certificate Manager。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | AWS::ElasticLoadBalancing::LoadBalancer |
| ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED | クロスゾーンロードバランシングが Classic Load Balancer に対して有効になっているかどうかを確認します。クロスゾーンロードバランシングが Classic Load Balancer に対して有効でない場合、ルールは NON_COMPLIANT になります。 | AWS::ElasticLoadBalancing::LoadBalancer |
| ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK | Classic Load Balancer の SSL リスナーがカスタムポリシーを使用しているかどうか確認します。このルールは、Classic Load Balancer の SSL リスナーがある場合のみ適用されます。 | AWS::ElasticLoadBalancing::LoadBalancer |
| ELB_DELETION_PROTECTION_ENABLED | Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。deletion_protection.enabled が false の場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| ELB_INTERNAL_SCHEME_CHECK | Classic Load Balancer スキームが内部かどうかを確認します。configuration.scheme が内部に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancing::LoadBalancer |
| ELB_LOGGING_ENABLED | Application Load Balancer と Classic Load Balancer でログ記録が有効になっているかどうかを確認します。access_logs.s3.enabledが false で、access_logs.S3.bucketが入力した s3BucketName と同じでない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancing::LoadBalancerAWS::ElasticLoadBalancingV2::LoadBalancer |
| ELB_PREDEFINED_SECURITY_POLICY_SSL_CHECK | Classic Load Balancer の SSL リスナーが事前定義済みポリシーを使用しているかどうか確認します。Classic Load Balancer の HTTPS/SSL リスナーのポリシーがパラメータ「predefinedPolicyName」の値と一致しない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancing::LoadBalancer |
| ELB_TAGGED | Classic Load Balancer にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::ElasticLoadBalancing::LoadBalancer |
| ELB_TLS_HTTPS_LISTENERS_ONLY | Classic Load Balancer が SSL または HTTPS リスナーで設定されているかどうかを確認します。リスナーが SSL または HTTPS で設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancing::LoadBalancer |
| EMR_BLOCK_PUBLIC_ACCESS | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっているかどうかを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | AWS::::Account |
| EMR_KERBEROS_ENABLED | Amazon EMR クラスターで Kerberos が有効になっていることを確認します。セキュリティ構成がクラスターにアタッチされていない場合、またはセキュリティ構成が指定されたルールパラメータを満たしていない場合、ルールは NON_COMPLIANT です。 | AWS::EMR::Cluster |
| EMR_MASTER_NO_PUBLIC_IP | Amazon EMR クラスターのプライマリノードにパブリック IP があるかどうかを確認します。プライマリノードにパブリック IP がある場合、ルールは NON_COMPLIANT です。 | AWS::EMR::ClusterAWS::EC2::Instance |
| EMR_SECURITY_CONFIGURATION_ENCRYPTION_REST | Amazon EMR のセキュリティ設定で保管時の暗号化が有効になっているかどうかを確認します。configuration.SecurityConfiguration.EncryptionConfiguration.EnableAtRestEncryption が false の場合、ルールは NON_COMPLIANT です。 | AWS::EMR::SecurityConfiguration |
| EMR_SECURITY_CONFIGURATION_ENCRYPTION_TRANSIT | Amazon EMR セキュリティ設定で転送中の暗号化が有効になっているかどうかを確認します。configuration.SecurityConfiguration.EncryptionConfiguration.EnableInTransitEncryption が false の場合、ルールは NON_COMPLIANT です。 | AWS::EMR::SecurityConfiguration |
| ENCRYPTED_VOLUMES | アタッチされた Amazon EBS ボリュームが暗号化されているか、オプションで指定された KMS キーで暗号化されているかを確認します。アタッチされた EBS ボリュームが暗号化されていないか、指定されたパラメータに含まれていない KMS キーで暗号化されている場合、ルールは NON_COMPLIANT になります。 | AWS::EC2::Volume |
| EVENT_DATA_STORE_CMK_ENCRYPTION_ENABLED | AWS Cloud Trail イベントデータストアでカスタマーマネージド KMS AWS キーが有効になっているかどうかを確認します。イベントデータストアでカスタマーマネージド KMS キーが無効になっている場合、ルールは NON_COMPLIANT です。必要に応じて、ルールがチェックする KMS キーのリストを指定できます。 | AWS::CloudTrail::EventDataStore |
| EVIDENTLY_LAUNCH_DESCRIPTION | Amazon CloudWatch Evidently の起動に説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::Evidently::Launch |
| EVIDENTLY_LAUNCH_TAGGED | Amazon CloudWatch Evidently の起動にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::Evidently::Launch |
| EVIDENTLY_PROJECT_DESCRIPTION | Amazon CloudWatch Evidently のプロジェクトに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::Evidently::Project |
| EVIDENTLY_PROJECT_TAGGED | Amazon CloudWatch Evidently のプロジェクトにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::Evidently::Project |
| EVIDENTLY_SEGMENT_DESCRIPTION | Amazon CloudWatch Evidently のセグメントに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::Evidently::Segment |
| EVIDENTLY_SEGMENT_TAGGED | Amazon CloudWatch Evidently のセグメントにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::Evidently::Segment |
| FIS_EXPERIMENT_TEMPLATE_LOG_CONFIGURATION_EXISTS | FIS 実験テンプレート AWS に実験ログが設定されているかどうかを確認します。configuration.LogConfiguration が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::FIS::ExperimentTemplate |
| FIS_EXPERIMENT_TEMPLATE_TAGGED | FIS AWS 実験テンプレートにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::FIS::ExperimentTemplate |
| FMS_SHIELD_RESOURCE_POLICY_CHECK | このルールは非推奨化のプロセスが進行中です。直接使用することはお勧めしません。 | AWS::CloudFront::DistributionAWS::ElasticLoadBalancingV2::LoadBalancerAWS::WAFRegional::WebACLAWS::EC2::EIPAWS::ElasticLoadBalancing::LoadBalancerAWS::ShieldRegional::ProtectionAWS::Shield::Protection |
| FMS_WEBACL_RESOURCE_POLICY_CHECK | このルールは非推奨化のプロセスが進行中です。直接使用することはお勧めしません。 | AWS::CloudFront::DistributionAWS::ApiGateway::StageAWS::ElasticLoadBalancingV2::LoadBalancerAWS::WAFRegional::WebACL |
| FMS_WEBACL_RULEGROUP_ASSOCIATION_CHECK | このルールは非推奨化のプロセスが進行中です。直接使用することはお勧めしません。 | AWS::WAF::WebACLAWS::WAFRegional::WebACL |
| FRAUDDETECTOR_ENTITY_TYPE_TAGGED | Amazon Fraud Detector のエンティティタイプにタグがあるかどうかを確認します。必要に応じて、ルールにタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::FraudDetector::EntityType |
| FRAUDDETECTOR_LABEL_TAGGED | Amazon Fraud Detector のラベルにタグがあるかどうかを確認します。必要に応じて、ルールにタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::FraudDetector::Label |
| FRAUDDETECTOR_OUTCOME_TAGGED | Amazon Fraud Detector の結果にタグがあるかどうかを確認します。必要に応じて、ルールにタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::FraudDetector::Outcome |
| FRAUDDETECTOR_VARIABLE_TAGGED | Amazon Fraud Detector の変数にタグがあるかどうかを確認します。必要に応じて、ルールにタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::FraudDetector::Variable |
| FSX_LAST_BACKUP_RECOVERY_POINT_CREATED | Amazon FSx ファイルシステムのリカバリポイントが作成されたかどうかを確認します。Amazon FSx ファイルシステムに対応するリカバリポイントが指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| FSX_LUSTRE_COPY_TAGS_TO_BACKUPS | Amazon FSx for Lustre ファイルシステムがタグをバックアップにコピーするように設定されているかどうかを確認します。Lustre ファイルシステムがタグをバックアップにコピーするように設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| FSX_MEETS_RESTORE_TIME_TARGET | Amazon FSx ファイルシステムの復元時間が、指定された期間と一致しているかどうかを確認します。Amazon FSx ファイルシステムの LatestRestoreExecutionTimeMinutes が maxRestoreTime の値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| FSX_ONTAP_DEPLOYMENT_TYPE_CHECK | Amazon FSx for NetApp ONTAP ファイルシステムが特定のデプロイタイプで設定されているかどうかを確認します。Amazon FSx for NetApp ONTAP ファイルシステムが、指定したデプロイタイプで設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| FSX_OPENZFS_COPY_TAGS_ENABLED | Amazon FSx for OpenZFS ファイルシステムがタグをバックアップとボリュームにコピーするように設定されているかどうかを確認します。FSx for OpenZFS ファイルシステムがタグをバックアップとボリュームにコピーするように設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| FSX_OPENZFS_DEPLOYMENT_TYPE_CHECK | Amazon FSx for OpenZFS ファイルシステムが特定のデプロイタイプで設定されているかどうかを確認します。FSx for OpenZFS ファイルシステムが、指定したデプロイタイプで設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| FSX_RESOURCES_PROTECTED_BACKUP_PLAN | Amazon FSx ファイルシステムがバックアップ計画で保護されているかどうかを確認します。Amazon FSx ファイルがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| FSX_WINDOWS_AUDIT_LOG_CONFIGURED | Amazon FSx for Windows File Server ファイルシステムで、ファイルアクセス監査が有効になっているかどうかを確認します。FSx for Windows File Server ファイルシステムで、ファイルアクセス監査が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| FSX_WINDOWS_DEPLOYMENT_TYPE_CHECK | Amazon FSx for WINDOWS ファイルシステムが特定のデプロイタイプで設定されているかどうかを確認します。FSx for WINDOWS ファイルシステムが、指定したデプロイタイプで設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::FSx::FileSystem |
| GLB_LISTENER_TAGGED | Gateway Load Balancer のリスナーにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::ElasticLoadBalancingV2::Listener |
| GLB_TAGGED | Gateway Load Balancer にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| GLOBAL_ENDPOINT_EVENT_REPLICATION_ENABLED | Amazon EventBridge グローバルエンドポイントでイベントレプリケーションが有効になっているかどうかを確認します。イベントのレプリケーションが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::Events::Endpoint |
| GLUE_JOB_LOGGING_ENABLED | Glue AWS ジョブでログ記録が有効になっているかどうかを確認します。Glue ジョブで Amazon CloudWatch AWS ログが有効になっていない場合、ルールは NON_COMPLIANT です。 Amazon CloudWatch logs | AWS::Glue::Job |
| GLUE_ML_TRANSFORM_ENCRYPTED_AT_REST | AWS Glue ML 変換で保管時の暗号化が有効になっているかどうかを確認します。MLUserDataEncryptionMode が DISABLED に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::Glue::MLTransform |
| GLUE_ML_TRANSFORM_TAGGED | AWS Glue 機械学習変換にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::Glue::MLTransform |
| GLUE_SPARK_JOB_SUPPORTED_VERSION | 指定されたサポートされている最小 AWS Glue バージョンで Glue Spark AWS ジョブが実行されているかどうかを確認します。Glue Spark ジョブが、指定したサポートされている最小 AWS Glue バージョンで実行されていない場合、ルールは NON_COMPLIANT AWS です。 | AWS::Glue::Job |
| GUARDDUTY_EC2_PROTECTION_RUNTIME_ENABLED | Amazon GuardDuty ディテクターで、自動エージェント管理による ECS Runtime Monitoring が有効になっているかどうかを確認します。自分のアカウント、または組織内の少なくとも 1 つのメンバーアカウントでこの機能が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| GUARDDUTY_ECS_PROTECTION_RUNTIME_ENABLED | Amazon GuardDuty ディテクターで、自動エージェント管理による ECS Runtime Monitoring が有効になっているかどうかを確認します。自分のアカウント、または組織内の少なくとも 1 つのメンバーアカウントでこの機能が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| GUARDDUTY_EKS_PROTECTION_AUDIT_ENABLED | Amazon Elastic Kubernetes Service (Amazon EKS) の監査ログモニタリングが、アカウントの Amazon GuardDuty ディテクターに対して有効になっているかどうかを確認します。アカウントで EKS 監査ログモニタリング機能が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| GUARDDUTY_EKS_PROTECTION_RUNTIME_ENABLED | アカウントの GuardDuty ディテクターで、自動エージェント管理による Amazon EKS Runtime Monitoring が有効になっているかどうかを確認します。GuardDuty の自動エージェント管理による EKS Runtime Monitoring がアカウントで有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| GUARDDUTY_ENABLED_CENTRALIZED | AWS アカウントと AWS リージョンで Amazon GuardDuty が有効になっているかどうかを確認します。一元化のために AWS アカウントを指定すると、ルールは一元化されたアカウントで GuardDuty の結果を評価します。GuardDuty が有効になっている場合、ルールは COMPLIANT です。 | - |
| GUARDDUTY_LAMBDA_PROTECTION_ENABLED | アカウントの Amazon GuardDuty ディテクターで Lambda Protection が有効になっているかどうかを確認します。Amazon GuardDuty の Lambda Protection 機能がアカウントで有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| GUARDDUTY_MALWARE_PROTECTION_ENABLED | アカウントの Amazon GuardDuty ディテクターで Malware Protection が有効になっているかどうかを確認します。Amazon GuardDuty の Malware Protection 機能がアカウントで有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| GUARDDUTY_NON_ARCHIVED_FINDINGS | Amazon GuardDuty にアーカイブされていない検出結果があるかどうかを確認します。GuardDuty に、daysLowSev/daysMediumSev/daysHighSevパラメータで指定されている値よりも古い、重要度が低/中/高のアーカイブされていない検出結果がある場合、ルールは NON_COMPLIANT です。 | - |
| GUARDDUTY_RDS_PROTECTION_ENABLED | アカウントの Amazon GuardDuty ディテクターに対して Amazon Relational Database Service (Amazon RDS) 保護が有効になっているかどうかを確認します。Amazon GuardDuty の Amazon RDS 保護機能がアカウントに対して有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| GUARDDUTY_RUNTIME_MONITORING_ENABLED | 自分のアカウントまたは組織で、Amazon GuardDuty ディテクターに対して Runtime Monitoring が有効になっているかどうかを確認します。自分のアカウント、または組織内の少なくとも 1 つのメンバーアカウントで GuardDuty での Runtime Monitoring が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| GUARDDUTY_S3_PROTECTION_ENABLED | アカウントの Amazon GuardDuty Detector で S3 Protection が有効になっているかどうかを確認します。Amazon GuardDuty の S3 保護機能がアカウントで有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::GuardDuty::Detector |
| IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS | 作成したマネージド AWS Identity and Access Management (IAM) ポリシーが、すべての KMS キーリソースでブロックされた KMS AWS アクションを許可していないかどうかを確認します。マネージド IAM ポリシーによってすべての KMS AWS キーでブロックされたアクションが許可されている場合、ルールは NON_COMPLIANT です。 | AWS::IAM::Policy |
| IAM_EXTERNAL_ACCESS_ANALYZER_ENABLED | 外部アクセス用の IAM Access Analyzer がリージョンごとにアカウントでアクティブ化されているかどうかを確認します。リージョンに外部アクセス用のアナライザーがない場合、または「ステータス」属性が「アクティブ」に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| IAM_GROUP_HAS_USERS_CHECK | IAM グループに少なくとも 1 人の IAM ユーザーが存在するかどうか確認します。 | AWS::IAM::Group |
| IAM_INLINE_POLICY_BLOCKED_KMS_ACTIONS | IAM ユーザー、ロール、グループにアタッチされたインラインポリシーが、すべての KMS AWS キーでブロックされたアクションを許可していないかどうかを確認します。インラインポリシー内のすべての KMS AWS キーでブロックされたアクションが許可されている場合、ルールは NON_COMPLIANT です。 | AWS::IAM::GroupAWS::IAM::RoleAWS::IAM::User |
| IAM_NO_INLINE_POLICY_CHECK | インラインポリシー機能が使用されていないかどうかを確認します。 AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループにインラインポリシーがある場合、ルールは NON_COMPLIANT です。 | AWS::IAM::GroupAWS::IAM::RoleAWS::IAM::User |
| IAM_OIDC_PROVIDER_TAGGED | IAM OIDC AWS プロバイダーにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。ルールは「aws:」で始まるタグをチェックしません。 | AWS::IAM::OIDCProvider |
| IAM_PASSWORD_POLICY | AWS Identity and Access Management (IAM) ユーザーのアカウントパスワードポリシーが、パラメータに示されている指定された要件を満たしているかどうかを確認します。アカウントのパスワードポリシーが指定の要件を満たしていない場合、ルールは NON_COMPLIANT です。 | - |
| IAM_POLICY_BLACKLISTED_CHECK | 入力パラメータのポリシー Amazon リソースネーム (ARN) が IAM リソースにアタッチされているかどうか、各 AWS Identity and Access Management (IAM) リソースをチェックします。ポリシー ARN が IAM リソースにアタッチされている場合、ルールは NON_COMPLIANT です。 | AWS::IAM::UserAWS::IAM::GroupAWS::IAM::Role |
| IAM_POLICY_IN_USE | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされているかどうかを確認します。 | AWS::IAM::Policy |
| IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS | 作成した AWS Identity and Access Management (IAM) ポリシーに、すべてのリソースに対するすべてのアクションにアクセス許可を付与する Allow ステートメントがあるかどうかを確認します。いずれかのカスタマー管理 IAM ポリシーステートメントに、"Resource": "*" に対して "Action": "*" が "Effect": "Allow" になっている場合、ルールは NON_COMPLIANT です。 | AWS::IAM::Policy |
| iam-policy-no-statements-with-full-access | 作成した AWS Identity and Access Management (IAM) ポリシーが、個々の AWS リソースに対するすべてのアクションにアクセス許可を付与するかどうかを確認します。カスタマー管理 IAM ポリシーで少なくとも 1 つの AWS サービスへのフルアクセスが許可されている場合、ルールは NON_COMPLIANT です。 | AWS::IAM::Policy |
| IAM_ROLE_MANAGED_POLICY_CHECK | 管理ポリシーのリストで指定されたすべての管理ポリシーが AWS Identity and Access Management (IAM) ロールにアタッチされているかどうかを確認します。IAM ロールに管理ポリシーがアタッチされていない場合、ルールは NON_COMPLIANT です。 | AWS::IAM::Role |
| IAM_ROOT_ACCESS_KEY_CHECK | ルートユーザーアクセスキーがあるかどうかを確認します。ユーザーアクセスキーが存在しない場合、ルールは COMPLIANT です。それ以外の場合は、NON_COMPLIANTです。 | - |
| IAM_SAML_PROVIDER_TAGGED | IAM SAML AWS プロバイダーにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IAM::SAMLProvider |
| IAM_SERVER_CERTIFICATE_EXPIRATION_CHECK | IAM AWS に保存されている IAM SSL/TLS サーバー証明書の有効期限が切れているかどうかを確認します。IAM サーバー証明書の有効期限が切れている場合、ルールは NON_COMPLIANT です。 | AWS::IAM::ServerCertificate |
| IAM_SERVER_CERTIFICATE_TAGGED | IAM サーバー証明書 AWS にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IAM::ServerCertificate |
| IAM_USER_GROUP_MEMBERSHIP_CHECK | IAM ユーザーが少なくとも 1 つの IAM グループのメンバーであるかどうかを確認します。 | AWS::IAM::User |
| IAM_USER_MFA_ENABLED | AWS Identity and Access Management (IAM) ユーザーが多要素認証 (MFA) が有効になっているかどうかを確認します。少なくとも 1 人の IAM ユーザーに対して MFA が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::IAM::User |
| IAM_USER_NO_POLICIES_CHECK | AWS Identity and Access Management (IAM) ユーザーにポリシーがアタッチされていないかどうかを確認します。IAM ユーザーは、IAM グループまたはロールからアクセス許可を継承する必要があります。IAM ユーザーにアタッチされているポリシーが最低 1 件ある場合、ルールは NON_COMPLIANT です。 | AWS::IAM::User |
| IAM_USER_UNUSED_CREDENTIALS_CHECK | AWS Identity and Access Management (IAM) ユーザーに、指定した日数内に使用されていないパスワードまたはアクティブなアクセスキーがあるかどうかを確認します。最近使用されていない非アクティブアカウントがある場合、ルールは NON_COMPLIANT です。 | AWS::IAM::User |
| INCOMING_SSH_DISABLED | セキュリティグループの受信 SSH トラフィックがアクセス可能かどうかを確認します。セキュリティグループの受信 SSH トラフィックの IP アドレスが制限されている場合 (0.0.0.0/0 または ::/0 以外の CIDR)、ルールは COMPLIANT です。それ以外の場合は、NON_COMPLIANTです。 | AWS::EC2::SecurityGroup |
| INSPECTOR_EC2_SCAN_ENABLED | EC2 インスタンスで潜在的な脆弱性とネットワーク到達可能性の問題を検出するために、Amazon Inspector V2 EC2 スキャンがシングルアカウント環境またはマルチアカウント環境でアクティブ化されているかどうかを確認します。EC2 スキャンが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| INSPECTOR_ECR_SCAN_ENABLED | コンテナイメージの潜在的なソフトウェアの脆弱性を検出するために、Amazon Inspector V2 ECR スキャンがシングルアカウント環境またはマルチアカウント環境でアクティブ化されているかどうかを確認します。ECR スキャンが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| INSPECTOR_LAMBDA_CODE_SCAN_ENABLED | 潜在的なコードの脆弱性を検出するために、Amazon Inspector V2 Lambda コードスキャンがシングルアカウント環境またはマルチアカウント環境でアクティブ化されているかどうかを確認します。Lambda コードスキャンが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| INSPECTOR_LAMBDA_STANDARD_SCAN_ENABLED | ソフトウェアの潜在的な脆弱性を検出するために、Amazon Inspector V2 Lambda 標準スキャンがシングルアカウント環境またはマルチアカウント環境でアクティブ化されているかどうかを確認します。Lambda 標準スキャンが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| INSTANCES_IN_VPC | EC2 インスタンスが Virtual Private Cloud (VPC) に属しているかどうかを確認します。オプションで、インスタンスに関連付ける VPC ID を指定できます。 | AWS::EC2::Instance |
| INTERNET_GATEWAY_AUTHORIZED_VPC_ONLY | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされているかどうかを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON_COMPLIANT です。 | AWS::EC2::InternetGateway |
| IOTDEVICEDEFENDER_CUSTOM_METRIC_TAGGED | AWS IoT Device Defender カスタムメトリクスにはタグがあります。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoT::CustomMetric |
| IOTEVENTS_ALARM_MODEL_TAGGED | AWS IoT Events アラームモデルにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTEvents::AlarmModel |
| IOTEVENTS_DETECTOR_MODEL_TAGGED | AWS IoT Events ディテクターモデルにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTEvents::DetectorModel |
| IOTEVENTS_INPUT_TAGGED | AWS IoT Events 入力にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTEvents::Input |
| IOTSITEWISE_ASSET_MODEL_TAGGED | AWS IoT SiteWise アセットモデルにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTSiteWise::AssetModel |
| IOTSITEWISE_DASHBOARD_TAGGED | AWS IoT SiteWise ダッシュボードにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTSiteWise::Dashboard |
| IOTSITEWISE_GATEWAY_TAGGED | AWS IoT SiteWise ゲートウェイにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTSiteWise::Gateway |
| IOTSITEWISE_PORTAL_TAGGED | AWS IoT SiteWise ポータルにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTSiteWise::Portal |
| IOTSITEWISE_PROJECT_TAGGED | AWS IoT SiteWise プロジェクトにタグがあるかどうかを確認します。必要に応じて、ルールのタグキーを指定できます。タグがないか、指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTSiteWise::Project |
| IOTTWINMAKER_COMPONENT_TYPE_TAGGED | AWS IoT TwinMaker コンポーネントタイプにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTTwinMaker::ComponentType |
| IOTTWINMAKER_ENTITY_TAGGED | AWS IoT TwinMaker エンティティにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTTwinMaker::Entity |
| IOTTWINMAKER_SCENE_TAGGED | AWS IoT TwinMaker シーンにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTTwinMaker::Scene |
| IOTTWINMAKER_SYNC_JOB_TAGGED | AWS IoT TwinMaker 同期ジョブにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTTwinMaker::SyncJob |
| IOTTWINMAKER_WORKSPACE_TAGGED | AWS IoT TwinMaker ワークスペースにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTTwinMaker::Workspace |
| IOTWIRELESS_FUOTA_TASK_TAGGED | AWS IoT Wireless FUOTA タスクにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTWireless::FuotaTask |
| IOTWIRELESS_MULTICAST_GROUP_TAGGED | AWS IoT Wireless マルチキャストグループにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTWireless::MulticastGroup |
| IOTWIRELESS_SERVICE_PROFILE_TAGGED | AWS IoT Wireless サービスプロファイルにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoTWireless::ServiceProfile |
| IOT_AUTHORIZER_TOKEN_SIGNING_ENABLED | AWS IoT Core オーソライザーが認可リクエストでトークン署名を検証するための署名要件を無効にしていないかどうかを確認します。オーソライザーの configuration.SigningDisabled が True に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::IoT::Authorizer |
| IOT_JOB_TEMPLATE_TAGGED | AWS IoT ジョブテンプレートリソースにタグがあるかどうかをチェックします。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoT::JobTemplate |
| IOT_PROVISIONING_TEMPLATE_DESCRIPTION | AWS IoT プロビジョニングテンプレートに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::IoT::ProvisioningTemplate |
| IOT_PROVISIONING_TEMPLATE_JITP | AWS IoT プロビジョニングテンプレートがjust-in-timeプロビジョニング (JITP) を使用しているかどうかを確認します。configuration.TemplateType が「JITP」でない場合、ルールは NON_COMPLIANT です。 | AWS::IoT::ProvisioningTemplate |
| IOT_PROVISIONING_TEMPLATE_TAGGED | AWS IoT プロビジョニングテンプレートにタグがあるかどうかをチェックします。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoT::ProvisioningTemplate |
| IOT_SCHEDULED_AUDIT_TAGGED | AWS IoT スケジュールされた監査にタグがあるかどうかをチェックします。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IoT::ScheduledAudit |
| IVS_CHANNEL_PLAYBACK_AUTHORIZATION_ENABLED | Amazon IVS チャネルで再生承認が有効になっているかどうかを確認します。configuration.Authorized が false の場合、ルールは NON_COMPLIANT です。 | AWS::IVS::Channel |
| IVS_CHANNEL_TAGGED | Amazon IVS チャネルにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IVS::Channel |
| IVS_PLAYBACK_KEY_PAIR_TAGGED | Amazon IVS 再生キーペアにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IVS::PlaybackKeyPair |
| IVS_RECORDING_CONFIGURATION_TAGGED | Amazon IVS の記録設定にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::IVS::RecordingConfiguration |
| KINESIS_FIREHOSE_DELIVERY_STREAM_ENCRYPTED | Amazon Kinesis Data Firehose 配信ストリームがサーバー側の暗号化を使用して保存時に暗号化されているかどうかを確認します。Kinesis Data Firehose 配信ストリームがサーバー側の暗号化で保存時に暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::KinesisFirehose::DeliveryStream |
| KINESIS_STREAM_BACKUP_RETENTION_CHECK | Amazon Kinesis Data Stream のデータレコード保持期間が特定の時間数に設定されているかどうかを確認します。プロパティ「RetentionPeriodHours」がパラメータで指定された値よりも短い場合、ルールは NON_COMPLIANT です。 | AWS::Kinesis::Stream |
| KINESIS_STREAM_ENCRYPTED | Amazon Kinesis Streams がサーバー側の暗号化を使用して保存時に暗号化されているかどうかを確認します。「StreamEncryption」が存在しない場合、ルールは Kinesis ストリームに対して NON_COMPLIANT になります。 | AWS::Kinesis::Stream |
| KINESIS_VIDEO_STREAM_MINIMUM_DATA_RETENTION | Amazon Kinesis Video Streams が、指定された最小データ保持以上の値で設定されているかどうかを確認します。DataRetentionInHours が必要なルールパラメータで指定された値より小さい場合、ルールは NON_COMPLIANT です。 | AWS::KinesisVideo::Stream |
| KMS_CMK_NOT_SCHEDULED_FOR_DELETION | AWS Key Management Service (AWS KMS) キーが KMS AWS で削除されるようにスケジュールされていないかどうかを確認します。KMS キーを削除するようにスケジュールされている場合、ルールは NON_COMPLIANT です。 | AWS::KMS::Key |
| KMS_KEY_POLICY_NO_PUBLIC_ACCESS | KMS AWS キーポリシーでパブリックアクセスが許可されているかどうかを確認します。KMS キーポリシーが KMS キーへのパブリックアクセスを許可する場合、ルールは NON_COMPLIANT です。 | AWS::KMS::Key |
| KMS_KEY_TAGGED | AWS Key Management Service (KMS) キーにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::KMS::Key |
| LAMBDA_CONCURRENCY_CHECK | Lambda 関数に関数レベルの同時実行数制限が設定されているかどうかを確認します。Lambda 関数に関数レベルの同時実行数制限が設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::Lambda::Function |
| LAMBDA_DLQ_CHECK | AWS Lambda 関数にデッドレターキューが設定されているかどうかを確認します。Lambda 関数にデッドレターキューが設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::Lambda::Function |
| LAMBDA_FUNCTION_DESCRIPTION | AWS Lambda 関数に説明があるかどうかを確認します。configuration.description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::Lambda::Function |
| LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED | Lambda リソースにアタッチされた AWS Lambda 関数ポリシーがパブリックアクセスを禁止するかどうかを確認します。Lambda 関数ポリシーがパブリックアクセスを許可している場合、ルールは NON_COMPLIANT です。 | AWS::Lambda::Function |
| LAMBDA_FUNCTION_SETTINGS_CHECK | ランタイム、ロール、タイムアウト、メモリサイズの AWS Lambda 関数設定が想定値と一致するかどうかを確認します。このルールは、「Image」パッケージタイプの関数と、「OS 専用ランタイム」に設定されたランタイムの関数を無視します。Lambda 関数の設定が期待値と一致しない場合、ルールは NON_COMPLIANT です。 | AWS::Lambda::Function |
| LAMBDA_FUNCTION_XRAY_ENABLED | AWS Lambda 関数で AWS X-Ray が有効になっているかどうかを確認します。Lambda 関数で X-Ray トレースが無効になっている場合、ルールは NON_COMPLIANT です。 | AWS::Lambda::Function |
| LAMBDA_INSIDE_VPC | Lambda 関数による仮想プライベートクラウド (VPC) へのアクセスが許可されているかどうかを確認します。Lambda 関数で VPC が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::Lambda::Function |
| lambda-vpc-multi-az-check | Lambda に複数のアベイラビリティーゾーンが関連付けられているかどうかを確認します。Lambda に 1 つのアベイラビリティーゾーンしか関連付けられていない場合、または関連付けられているアベイラビリティーゾーンの数がオプションのパラメータで指定されている数より少ない場合、ルールは NON_COMPLIANT になります。 | AWS::Lambda::Function |
| LIGHTSAIL_BUCKET_ALLOW_PUBLIC_OVERRIDES_DISABLED | Amazon Lightsail バケットのパブリック上書き許可が無効になっているかどうかを確認します。AllowPublicOverrides が true の場合、ルールは NON_COMPLIANT です。注: AllowPublicOverrides は GetObject がパブリックの場合、効果がありません。「lightsail-bucket-get-object-private」を参照してください。 | AWS::Lightsail::Bucket |
| LIGHTSAIL_BUCKET_TAGGED | Amazon Lightsail バケットにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Lightsail::Bucket |
| LIGHTSAIL_CERTIFICATE_TAGGED | Amazon Lightsail 証明書にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Lightsail::Certificate |
| LIGHTSAIL_DISK_TAGGED | Amazon Lightsail ディスクにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Lightsail::Disk |
| MACIE_AUTO_SENSITIVE_DATA_DISCOVERY_CHECK | Amazon Macie で機密データの自動検出が有効になっているかどうかを確認します。機密データの自動検出が無効になっている場合、ルールは NON_COMPLIANT です。このルールは管理者アカウントに適用され、メンバーアカウントには NOT_APPLICABLE です。 | AWS::::Account |
| macie-status-check | Amazon Macie がリージョンごとにアカウントで有効になっているかどうかを確認します。「status」属性が「ENABLED」に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| MARIADB_PUBLISH_LOGS_TO_CLOUDWATCH_LOGS | Amazon MariaDB データベースインスタンスが Amazon CloudWatch Logs にログを発行するように設定されているかどうかを確認します。データベースインスタンスが CloudWatch Logs にログを発行するように設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS | コンソールパスワードを使用するすべての AWS Identity and Access Management (IAM) ユーザーに対して AWS 多要素認証 (MFA) が有効になっているかどうかを確認します。MFA が有効の場合、このルールは COMPLIANT です。 | AWS::IAM::User |
| MQ_ACTIVE_BROKER_LDAP_AUTHENTICATION | Amazon MQ ActiveMQ ブローカーが LDAP 認証方法を使用してブローカーを保護するかどうかを確認します。configuration.AuthenticationStrategy が「ldap」でない場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| MQ_ACTIVE_DEPLOYMENT_MODE | Amazon MQ ActiveMQ ブローカーエンジンに設定されているデプロイモードを確認します。デフォルトの単一インスタンスブローカーモードが使用されている場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| MQ_ACTIVE_SINGLE_INSTANCE_BROKER_STORAGE_TYPE_EFS | mq.m5 インスタンスタイプファミリーを使用する Amazon MQ for ActiveMQ 単一インスタンスブローカーが、ブローカーストレージ用の Amazon Elastic File System (EFS) で設定されているかどうかを確認します。configuration.StorageType が「efs」でない場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| MQ_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED | Amazon MQ ブローカーで自動マイナーバージョンアップグレードが有効かどうかを確認します。Amazon MQ ブローカーで「AutoMinorVersionUpgrade」フィールドが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| MQ_AUTO_MINOR_VERSION_UPGRADE_ENABLED | Amazon MQ ブローカーで自動マイナーバージョンアップグレードが有効かどうかを確認します。Amazon MQ ブローカーで「AutoMinorVersionUpgrade」フィールドが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| MQ_BROKER_GENERAL_LOGGING_ENABLED | Amazon MQ ブローカーの一般ログ記録が有効になっているかどうかを確認します。configuration.Logs.General が false の場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| mq-cloudwatch-audit-logging-enabled | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっているかどうかを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON_COMPLIANT です。 | ] |
| MQ_CLOUDWATCH_AUDIT_LOG_ENABLED | Amazon MQ ブローカーで CloudWatch 監査ログが有効になっているかどうかを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| MQ_NO_PUBLIC_ACCESS | Amazon MQ ブローカーがパブリックにアクセス可能ではないかどうかを確認します。Amazon MQ ブローカーで、「PubliclyAccessible」フィールドが true に設定されている場合、ルールは NON_COMPLIANT になります。 | AWS::AmazonMQ::Broker |
| MQ_RABBIT_DEPLOYMENT_MODE | Amazon MQ RabbitMQ ブローカーエンジンに設定されているデプロイモードを確認します。デフォルトの単一インスタンスブローカーモードが使用されている場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| MSK_CLUSTER_PUBLIC_ACCESS_DISABLED | Amazon MSK クラスターでパブリックアクセスが無効になっているかどうかを確認します。Amazon MSK クラスターでパブリックアクセスが無効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::MSK::Cluster |
| MSK_CLUSTER_TAGGED | Amazon MSK クラスターにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::MSK::Cluster |
| MSK_CONNECT_CONNECTOR_LOGGING_ENABLED | Amazon MSK コネクタのログ記録がログ送信先のいずれかに対して、有効になっているかどうかを確認します。Amazon MSK コネクタのログが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::KafkaConnect::Connector |
| MSK_ENHANCED_MONITORING_ENABLED | 拡張モニタリングが、PER_TOPIC_PER_BROKER または PER_TOPIC_PER_PARTITION に設定された Amazon MSK クラスターに対して有効になっているかどうかを確認します。拡張モニタリングが有効で、DEFAULT または PER_BROKER に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::MSK::Cluster |
| MSK_IN_CLUSTER_NODE_REQUIRE_TLS | Amazon MSK クラスターが、クラスターのブローカーノードで HTTPS (TLS) を使用して転送中に暗号化を適用しているかどうかを確認します。プレーンテキスト通信がクラスター内ブローカーノード接続に対して有効になっている場合、ルールは NON_COMPLIANT です。 | AWS::MSK::Cluster |
| MSK_UNRESTRICTED_ACCESS_CHECK | Amazon MSK クラスターで、認証されていないアクセスが無効になっているかどうかを確認します。Amazon MSK クラスターで認証されていないアクセスが有効になっている場合、ルールは NON_COMPLIANT です。 | AWS::MSK::Cluster |
| MULTI_REGION_CLOUD_TRAIL_ENABLED | マルチリージョン AWS CloudTrail が少なくとも 1 つあるかどうかを確認します。追跡が入力パラメータと一致しない場合、ルールは NON_COMPLIANT です。ExcludeManagementEventSourcesフィールドが空でない場合、または AWS CloudTrail が AWS KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように設定されている場合、ルールは NON_COMPLIANT です。 | - |
| nacl-no-unrestricted-ssh-rdp | ネットワークアクセスコントロールリスト (NACL) の SSH/RDP 受信トラフィックに対するデフォルトポートが制限なしかどうかを確認します。NACL インバウンドエントリがポート 22 または 3389 についてソース TCP または UDP CIDR ブロックを許可する場合、ルールは NON_COMPLIANT になります。 | AWS::EC2::NetworkAcl |
| NEPTUNE_CLUSTER_BACKUP_RETENTION_CHECK | Amazon Neptune DB クラスターの保持期間が特定の日数に設定されているかどうかを確認します。保持期間がパラメータで指定された値よりも短い場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| NEPTUNE_CLUSTER_CLOUDWATCH_LOG_EXPORT_ENABLED | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっているかどうかを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| NEPTUNE_CLUSTER_COPY_TAGS_TO_SNAPSHOT_ENABLED | スナップショットの作成時に、すべてのタグをスナップショットにコピーするように Amazon Neptune クラスターが設定されているかどうかを確認します。「copyTagsToSnapshot」が false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| NEPTUNE_CLUSTER_DELETION_PROTECTION_ENABLED | Amazon Neptune DB クラスターの削除保護が有効になっているかどうかを確認します。Amazon Neptune クラスターの deletionProtection フィールドが false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| NEPTUNE_CLUSTER_ENCRYPTED | Amazon Neptune DB クラスターでストレージ暗号化が有効になっているかどうかを確認します。ストレージの暗号化が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| NEPTUNE_CLUSTER_IAM_DATABASE_AUTHENTICATION | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっているかどうかを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| NEPTUNE_CLUSTER_MULTI_AZ_ENABLED | Amazon Neptune クラスターが Amazon RDS マルチ AZ レプリケーションを使用して設定されているかどうかを確認します。Multi-AZ のレプリケーションが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| NEPTUNE_CLUSTER_SNAPSHOT_ENCRYPTED | Amazon Neptune DB クラスターのスナップショットが暗号化されているかどうかを確認します。Neptune クラスターのスナップショットが暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBClusterSnapshot |
| NEPTUNE_CLUSTER_SNAPSHOT_PUBLIC_PROHIBITED | Amazon Neptune 手動 DB クラスタースナップショットがパブリックかどうかを確認します。既存および新規の Neptune スナップショットがパブリックの場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBClusterSnapshot |
| NETFW_DELETION_PROTECTION_ENABLED | AWS Network Firewall で削除保護が有効になっているかどうかを確認します。Network Firewall で削除保護が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::NetworkFirewall::Firewall |
| NETFW_LOGGING_ENABLED | AWS Network Firewall ファイアウォールでログ記録が有効になっているかどうかを確認します。ログタイプが設定されていない場合、ルールは NON_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | AWS::NetworkFirewall::LoggingConfiguration |
| NETFW_MULTI_AZ_ENABLED | AWS Network Firewall ファイアウォールが複数のアベイラビリティーゾーンにデプロイされているかどうかを確認します。ファイアウォールが 1 つのアベイラビリティーゾーンにしかデプロイされていない場合、またはオプションのパラメータで指定されている数より少ないゾーンにデプロイされている場合、ルールは NON_COMPLIANT になります。 | AWS::NetworkFirewall::Firewall |
| NETFW_POLICY_DEFAULT_ACTION_FRAGMENT_PACKETS | AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されているかどうかを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON_COMPLIANT です。 | AWS::NetworkFirewall::FirewallPolicy |
| NETFW_POLICY_DEFAULT_ACTION_FULL_PACKETS | AWS Network Firewall ポリシーが、フルパケットに対してユーザー定義のデフォルトのステートレスアクションで設定されているかどうかを確認します。完全なパケットのデフォルトステートレスアクションがユーザー定義のデフォルトステートレスアクションと一致しない場合、このルールは NON_COMPLIANT です。 | AWS::NetworkFirewall::FirewallPolicy |
| NETFW_POLICY_RULE_GROUP_ASSOCIATED | AWS Network Firewall ポリシーがステートフルルールグループまたはステートレスルールグループに関連付けられていることを確認します。このルールは、ステートフルまたはステートレスルールグループが Network Firewall ポリシーに関連付けられていない場合、NON_COMPLIANT になります。いずれかのルールグループが存在する場合は COMPLIANT になります。 | AWS::NetworkFirewall::FirewallPolicy |
| netfw-stateless-rule-group-not-empty | ステートレスネットワークファイアウォールのルールグループにルールが含まれているかどうかを確認します。ステートレスネットワークファイアウォールのルールグループにルールがない場合、ルールは NON_COMPLIANT になります。 | AWS::NetworkFirewall::RuleGroup |
| NETFW_SUBNET_CHANGE_PROTECTION_ENABLED | AWS Network Firewall でサブネット変更保護が有効になっているかどうかを確認します。サブネット変更保護が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::NetworkFirewall::Firewall |
| NLB_CROSS_ZONE_LOAD_BALANCING_ENABLED | クロスゾーンロードバランシングが Network Load Balancer (NLB) に対して有効になっているかどうかを確認します。クロスゾーンロードバランシングが NLB に対して有効でない場合、このルールは NON_COMPLIANT になります。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| NLB_INTERNAL_SCHEME_CHECK | Network Load Balancer スキームが内部かどうかを確認します。configuration.scheme が内部に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| NLB_LISTENER_TAGGED | Network Load Balancer のリスナーにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::ElasticLoadBalancingV2::Listener |
| NLB_LOGGING_ENABLED | Network Load Balancer のアクセスログ記録が有効になっているかどうかを確認します。Network Load Balancer のアクセスログ記録が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| NLB_TAGGED | Network Load Balancer にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::ElasticLoadBalancingV2::LoadBalancer |
| NO_UNRESTRICTED_ROUTE_TO_IGW | ルートテーブルにインターネットゲートウェイ (IGW) へのパブリックルートがあるかどうかを確認します。IGW へのルートに「0.0.0.0/0」または「:: /0」などの送信先 CIDR ブロックがある場合、または送信先 CIDR ブロックがルールパラメータと一致しない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::RouteTable |
| opensearch-access-control-enabled | きめ細かなアクセスコントロールが Amazon OpenSearch Service ドメインに設定されているかどうかをチェックします。AdvancedSecurityOptions が OpenSearch Service ドメインに対して有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| OPENSEARCH_AUDIT_LOGGING_ENABLED | Amazon OpenSearch Service ドメインで監査ログが有効になっているかどうかを確認します。OpenSearch Service ドメインで監査ログが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| opensearch-data-node-fault-tolerance | Amazon OpenSearch Serviceのドメインが少なくとも 3 つのデータノードで構成され、zoneAwarenessEnabled が true であるかどうかをチェックします。'instanceCount' が 3 より小さい場合、または 'zoneAwarenessEnabled' が 'false' に設定されている場合、OpenSearch ドメインのルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| opensearch-encrypted-at-rest | Amazon OpenSearch Service ドメインで保管時の暗号化設定が有効になっているかどうかを確認します。EncryptionAtRestOptionsフィールドが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| opensearch-https-required | OpenSearch ドメインへの接続が HTTPS を使用しているかどうかをチェックします。Amazon OpenSearch ドメイン 'EnforceHTTPS' が 'true' でない場合、または 'true' であって 'TLSSecurityPolicy' が 'tlsPolicies' でない場合、ルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| opensearch-in-vpc-only | Amazon OpenSearch Service ドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあるかどうかを確認します。OpenSearch Service ドメインのエンドポイントがパブリックである場合、ルールは NON_COMPLIANT になります。 | AWS::OpenSearch::Domain |
| opensearch-logs-to-cloudwatch | Amazon OpenSearch Service ドメインが、Amazon CloudWatch Logs にログを送信するように設定されているかどうかを確認します。ログ記録が設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| opensearch-node-to-node-encryption-check | Amazon OpenSearch Service ノードがエンドツーエンドで暗号化されているかどうかを確認します。ノード間の暗号化がドメイン上で有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| OPENSEARCH_PRIMARY_NODE_FAULT_TOLERANCE | Amazon OpenSearch Service ドメインが少なくとも 3 つの専用プライマリノードで構成されているかどうかを確認します。「DedicatedMasterEnabled」が「false」に設定されている場合、または「DedicatedMasterCount」が 3 未満である場合、OpenSearch Service ドメインのルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| OPENSEARCH_UPDATE_CHECK | Amazon OpenSearch Service バージョンのアップデートが利用可能であるものの、インストールされていないことを確認します。最新のソフトウェアの更新がインストールされていない場合、OpenSearch ドメインのルールは NON_COMPLIANT です。 | AWS::OpenSearch::Domain |
| RABBIT_MQ_SUPPORTED_VERSION | Amazon MQ RabbitMQ ブローカーが、指定された最小サポートエンジンバージョンで実行されているかどうかを確認します。RabbitMQ ブローカーが、指定した最小サポートエンジンバージョンで実行されていない場合、ルールは NON_COMPLIANT です。 | AWS::AmazonMQ::Broker |
| RDS_AURORA_MYSQL_AUDIT_LOGGING_ENABLED | Amazon Aurora MySQL 互換エディションのクラスターが監査ログを Amazon CloudWatch Logs に発行するように設定されているかどうかを確認します。Aurora MySQL 互換エディションのクラスターで、監査ログの公開が有効でない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| RDS_AURORA_POSTGRESQL_LOGS_TO_CLOUDWATCH | Amazon Aurora PostgreSQL DB クラスターがPostgreSQL ログを Amazon CloudWatch Logs に発行するように設定されているかどうかを確認します。DB クラスターが PostgreSQL ログを Amazon CloudWatch Logs に発行するように設定されていない場合、このルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED | Amazon Relational Database Service (RDS) データベースインスタンスが、自動マイナーバージョンアップグレードに設定されているかどうかを確認します。「autoMinorVersionUpgrade」の値が false の場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_CLUSTER_AUTO_MINOR_VERSION_UPGRADE_ENABLE | Amazon RDS マルチ AZ クラスターデプロイで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。autoMinorVersionUpgrade の値が false の場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| rds-cluster-default-admin-check | Amazon Relational Database Service (Amazon RDS) データベースクラスターが管理者ユーザーネームをそのデフォルト値から変更したかどうかを確認します。管理者ユーザーネームがデフォルト値に設定されている場合、ルールは NON_COMPLIANT になります。 | AWS::RDS::DBCluster |
| RDS_CLUSTER_DELETION_PROTECTION_ENABLED | Amazon Relational Database Service (Amazon RDS) クラスターで削除保護が有効になっているかどうかを確認します。RDS クラスターで削除保護が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| rds-cluster-encrypted-at-rest | Amazon Relational Database Service (Amazon RDS) クラスターが保管時に暗号化されているかどうかを確認します。Amazon RDS クラスターが保管時に暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| RDS_CLUSTER_IAM_AUTHENTICATION_ENABLED | Amazon Relational Database Service (Amazon RDS) クラスターで AWS Identity and Access Management (IAM) 認証が有効になっているかどうかを確認します。Amazon RDS クラスターで IAM 認証が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| RDS_CLUSTER_MULTI_AZ_ENABLED | Amazon Relational Database Service (Amazon RDS) によって管理される Amazon Aurora およびマルチ AZ DB クラスターで、マルチアベイラビリティーゾーン (マルチ AZ) レプリケーションが有効になっているかどうかを確認します。Amazon RDS インスタンスがマルチ AZ を使用して設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| rds-db-security-group-not-allowed | デフォルトの DB セキュリティグループではない Amazon Relational Database Service (Amazon RDS) DB セキュリティグループが存在するかどうかを確認します。デフォルトの DB セキュリティグループではない DB セキュリティグループが存在する場合、ルールは NON_COMPLIANT になります。 | AWS::RDS::DBSecurityGroup |
| RDS_ENHANCED_MONITORING_ENABLED | Amazon RDS インスタンスに対して拡張モニタリングが有効になっているかどうかをチェックします。RDS インスタンスの設定項目で「monitoringInterval」が「0」の場合、または「monitoringInterval」がルールパラメータ値と一致しない場合、このルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_EVENT_SUBSCRIPTION_TAGGED | Amazon RDS イベントサブスクリプションにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::RDS::EventSubscription |
| rds-instance-default-admin-check | Amazon Relational Database Service (Amazon RDS) データベースが管理者ユーザーネームをそのデフォルト値から変更したかどうかを確認します。このルールが実行されるのは RDS データベースインスタンスのみです。管理者ユーザーネームがデフォルト値に設定されている場合、ルールは NON_COMPLIANT になります。 | AWS::RDS::DBInstance |
| RDS_INSTANCE_DELETION_PROTECTION_ENABLED | Amazon Relational Database Service (Amazon RDS) インスタンスで削除保護が有効になっているかどうかを確認します。Amazon RDS インスタンスで削除保護が有効になっていない場合、つまり deletionProtection が false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_INSTANCE_IAM_AUTHENTICATION_ENABLED | Amazon Relational Database Service (Amazon RDS) インスタンスで AWS Identity and Access Management (IAM) 認証が有効になっているかどうかを確認します。Amazon RDS インスタンスで IAM 認証が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_INSTANCE_PUBLIC_ACCESS_CHECK | Amazon Relational Database Service (Amazon RDS) インスタンスがパブリックアクセス可能になっていないかどうかを確認します。インスタンスの設定項目で publiclyAccessible フィールドが true の場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_INSTANCE_SUBNET_IGW_CHECK | RDS DB インスタンスが、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイされているかどうかを確認します。RDS DB インスタンスがパブリックサブネットにデプロイされている場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_IN_BACKUP_PLAN | Amazon Relational Database Service (Amazon RDS) データベースが AWS Backup プランに存在するかどうかを確認します。Amazon RDS データベースが AWS Backup プランに含まれていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_LAST_BACKUP_RECOVERY_POINT_CREATED | Amazon Relational Database Service (Amazon RDS) のリカバリポイントが作成されたかどうかを確認します。Amazon RDS インスタンスに対応するリカバリポイントが指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_LOGGING_ENABLED | Amazon Relational Database Service (Amazon RDS) の各ログが有効になっているかどうかを確認します。どのログタイプも有効でない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_MARIADB_INSTANCE_ENCRYPTED_IN_TRANSIT | エンジンバージョン 10.5 以上を搭載した Amazon RDS for MariaDB DB インスタンスへの接続が、転送中の暗号化を使用しているかどうかを確認します。DB パラメータグループが同期していない場合、または require_secure_transport が ON に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_MEETS_RESTORE_TIME_TARGET | Amazon Relational Database Service (Amazon RDS) インスタンスの復元時間が、指定された期間と一致しているかどうかを確認します。Amazon RDS インスタンスの LatestRestoreExecutionTimeMinutes が maxRestoreTime の値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_MULTI_AZ_SUPPORT | RDS DB インスタンスの高可用性が有効になっているかどうかを確認します。 | AWS::RDS::DBInstance |
| RDS_MYSQL_CLUSTER_COPY_TAGS_TO_SNAPSHOT_CHECK | Amazon Relational Database Service (Amazon RDS) MySQL DB クラスターが、スナップショットにタグをコピーするように設定されているかどうかを確認します。Amazon RDS MySQL DB クラスターがスナップショットにタグをコピーするように設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| RDS_MYSQL_INSTANCE_ENCRYPTED_IN_TRANSIT | Amazon RDS for MySQL データベースインスタンスへの接続が、転送中の暗号化を使用するように設定されているかどうかを確認します。関連付けられたデータベースパラメータグループが同期していない場合、または require_secure_transport パラメータが 1 に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_OPTION_GROUP_TAGGED | Amazon RDS オプショングループのリソースにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::RDS::OptionGroup |
| RDS_PGSQL_CLUSTER_COPY_TAGS_TO_SNAPSHOT_CHECK | Amazon Relational Database Service (Amazon RDS) PostgreSQL DB クラスターが、スナップショットにタグをコピーするように設定されているかどうかを確認します。RDS PostgreSQL DB クラスターの CopyTagsToSnapshot プロパティが false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBCluster |
| RDS_POSTGRESQL_LOGS_TO_CLOUDWATCH | Amazon PostgreSQL DB インスタンスが Amazon CloudWatch Logs にログを発行するように設定されているかどうかを確認します。DB インスタンスが Amazon CloudWatch Logs にログを発行するように設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_POSTGRES_INSTANCE_ENCRYPTED_IN_TRANSIT | Amazon RDS PostgreSQL データベースインスタンスへの接続が、転送中の暗号化を使用するように設定されているかどうかを確認します。関連付けられたデータベースパラメータグループが同期していない場合、または rds.force_ssl パラメータが 1 に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_PROXY_TLS_ENCRYPTION | Amazon RDS Proxy がすべての接続に対して TLS を強制しているかどうかを確認します。Amazon RDS Proxy がすべての接続に対して TLS を強制していない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBProxy |
| RDS_RESOURCES_PROTECTED_BACKUP_PLAN | Amazon Relational Database Service (Amazon RDS) インスタンスがバックアップ計画で保護されているかどうかを確認します。Amazon RDS データベースインスタンスがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_SNAPSHOTS_PUBLIC_PROHIBITED | Amazon Relational Database Service (Amazon RDS) スナップショットがパブリックかどうかを確認します。既存および新規の Amazon RDS スナップショットがパブリックである場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBClusterSnapshotAWS::RDS::DBSnapshot |
| RDS_SNAPSHOT_ENCRYPTED | Amazon Relational Database Service (Amazon RDS) DB スナップショットが暗号化されているかどうかを確認します。Amazon RDS DB スナップショットが暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBClusterSnapshotAWS::RDS::DBSnapshot |
| RDS_SQLSERVER_ENCRYPTED_IN_TRANSIT | Amazon RDS SQL サーバーのデータベースインスタンスへの接続が、転送中の暗号化を使用するように設定されているかどうかを確認します。パラメータグループの DB パラメータ force_ssl が 1 に設定されていない場合、または ApplyStatus パラメータが「in-sync」でない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_SQL_SERVER_LOGS_TO_CLOUDWATCH | Amazon SQL Server DB インスタンスが Amazon CloudWatch Logs にログを発行するように設定されているかどうかを確認します。DB インスタンスが Amazon CloudWatch Logs にログを発行するように設定されていない場合、このルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| RDS_STORAGE_ENCRYPTED | Amazon Relational Database Service (Amazon RDS) DB インスタンスでストレージの暗号化が有効になっているかどうかを確認します。ストレージの暗号化が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::RDS::DBInstance |
| REDSHIFT_AUDIT_LOGGING_ENABLED | Amazon Redshift クラスターが特定のバケットに対する監査を記録しているかどうかを確認します。Redshift クラスターに対して監査ログが有効化されていない場合、または「bucketNames」パラメータが指定されているが、監査ログの送信先が一致しない場合、ルールは NON_COMPLIANT になります。 | AWS::Redshift::Cluster |
| REDSHIFT_BACKUP_ENABLED | Amazon Redshift 自動スナップショットがクラスターに対して有効になっていることを確認します。automatedSnapshotRetentionPeriodの値がMaxRetentionPeriodより大きいかMinRetentionPeriodより小さい場合、または値が 0 の場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REDSHIFT_CLUSTER_CONFIGURATION_CHECK | Amazon Redshift クラスターに指定された設定があるかどうか確認します。Amazon Redshift クラスターが暗号化されていない、または別のキーで暗号化されている場合、または監査ログ作成が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REDSHIFT_CLUSTER_KMS_ENABLED | Amazon Redshift クラスターが暗号化に指定された AWS Key Management Service (AWS KMS) キーを使用しているかどうかを確認します。暗号化が有効になっていて、クラスターがkmsKeyArnパラメータで指定されたキーで暗号化されている場合、ルールは COMPLIANT です。クラスターが暗号化されていない場合、または別のキーで暗号化されている場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK | Amazon Redshift クラスターに、指定されたメンテナンス設定があるかどうか確認します。メジャーバージョンへの自動アップグレードが無効になっている場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REDSHIFT_CLUSTER_MULTI_AZ_ENABLED | Amazon Redshift クラスターで複数のアベイラビリティーゾーンのデプロイが有効になっているかどうかを確認します。Amazon Redshift クラスターで複数のアベイラビリティーゾーンのデプロイが有効になっていない場合、このルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REDSHIFT_CLUSTER_PARAMETER_GROUP_TAGGED | Amazon Redshift クラスターのパラメータグループにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Redshift::ClusterParameterGroup |
| redshift-cluster-public-access-check | Amazon Redshift クラスターがパブリックアクセス可能になっていないかどうかを確認します。クラスターの設定項目で publiclyAccessible フィールドが true の場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REDSHIFT_CLUSTER_SUBNET_GROUP_MULTI_AZ | Amazon Redshift サブネットグループに複数のアベイラビリティーゾーンからのサブネットが含まれているかどうかを確認します。Amazon Redshift サブネットグループに少なくとも 2 つの異なるアベイラビリティーゾーンからのサブネットが含まれていない場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::ClusterSubnetGroup |
| redshift-default-admin-check | Amazon Redshift クラスターが管理者ユーザーネームをそのデフォルト値から変更したかどうかを確認します。Redshift クラスターの管理ユーザーネームが「awsuser」に設定されている、またはユーザーネームがパラメータにリストされているものと一致しない場合、ルールは NON_COMPLIANT になります。 | AWS::Redshift::Cluster |
| REDSHIFT_DEFAULT_DB_NAME_CHECK | Redshift クラスターがデータベース名をそのデフォルト値から変更したかどうかを確認します。Redshift クラスターのデータベース名が「dev」に設定されている場合、またはオプションのパラメータが指定されているのにデータベース名が一致しない場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REDSHIFT_ENHANCED_VPC_ROUTING_ENABLED | Amazon Redshift クラスターで「enhancedVpcRouting」が有効になっているかどうかを確認します。「enhancedVpcRouting」が有効でない場合、または configuration.enhancedVpcRouting フィールドが「false」の場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REDSHIFT_REQUIRE_TLS_SSL | Amazon Redshift クラスターで SQL クライアントに接続するための TLS/SSL 暗号化が必要かどうかを確認します。Amazon Redshift クラスターでパラメータの require_SSL が true に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::ClusterAWS::Redshift::ClusterParameterGroup |
| REDSHIFT_SERVERLESS_DEFAULT_ADMIN_CHECK | Amazon Redshift Serverless 名前空間の管理者ユーザーネームがそのデフォルト値から変更されたかどうかを確認します。Redshift Serverless 名前空間の管理者ユーザー名が「admin」に設定された場合、ルールは NON_COMPLIANT です。 | AWS::RedshiftServerless::Namespace |
| REDSHIFT_SERVERLESS_DEFAULT_DB_NAME_CHECK | Amazon Redshift Serverless 名前空間のデータベース名がそのデフォルト値から変更されたかどうかを確認します。Amazon Redshift Serverless 名前空間のデータベース名が「dev」に設定された場合、ルールは NON_COMPLIANT です。 | AWS::RedshiftServerless::Namespace |
| REDSHIFT_SERVERLESS_NAMESPACE_CMK_ENCRYPTION | Amazon Redshift Serverless 名前空間がカスタマーマネージド KMS AWS キーによって暗号化されているかどうかを確認します。名前空間がカスタマーマネージドキーによって暗号化されていない場合、ルールは NON_COMPLIANT です。必要に応じて、ルールがチェックする KMS キーのリストを指定できます。 | AWS::RedshiftServerless::Namespace |
| REDSHIFT_SERVERLESS_PUBLISH_LOGS_TO_CLOUDWATCH | Amazon Redshift Serverless 名前空間が、次のログを Amazon CloudWatch Logs に発行するように設定されているかどうかを確認します。名前空間が次のログを Amazon CloudWatch Logs に発行するように設定されていない場合、このルールは NON_COMPLIANT です。 | AWS::RedshiftServerless::Namespace |
| REDSHIFT_SERVERLESS_WORKGROUP_ENCRYPTED_IN_TRANSIT | AWS Redshift Serverless ワークグループの require_ssl 設定パラメータが true に設定されているかどうかを確認します。require_ssl が false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::RedshiftServerless::Workgroup |
| REDSHIFT_SERVERLESS_WORKGROUP_NO_PUBLIC_ACCESS | Amazon Redshift Serverless ワークグループがパブリックアクセスを許可していないかどうかを確認します。ワークグループで [パブリックアクセス可能をオンにする] が有効になっている場合、ルールは NON_COMPLIANT です。 | AWS::RedshiftServerless::Workgroup |
| REDSHIFT_SERVERLESS_WORKGROUP_ROUTES_WITHIN_VPC | Amazon Redshift Serverless ワークグループが、VPC 経由でネットワークトラフィックをルーティングするかどうかを確認します。ワークグループで [拡張された VPC ルーティングをオンにする] が無効になっている場合、ルールは NON_COMPLIANT です。 | AWS::RedshiftServerless::Workgroup |
| REDSHIFT_UNRESTRICTED_PORT_ACCESS | Amazon Redshift クラスターに関連付けられたセキュリティグループに、無制限の受信トラフィックを許可するインバウンドルールがあるかどうかを確認します。Redshift クラスターポートに無制限の受信トラフィックを許可するインバウンドルールがある場合、ルールは NON_COMPLIANT です。 | AWS::Redshift::Cluster |
| REQUIRED_TAGS | 指定したタグがリソースにあるかどうかを確認します。例えば、Amazon EC2 インスタンスにCostCenterタグがあるかどうかを確認するとともに、すべての RDS インスタンスに 1 セットの Keys タグがあるかどうかを確認できます。複数の値はカンマで区切ります。一度に確認できるタグは 6 つまでです。 | AWS::ACM::CertificateAWS::AutoScaling::AutoScalingGroupAWS::CloudFormation::StackAWS::CodeBuild::ProjectAWS::DynamoDB::TableAWS::EC2::CustomerGatewayAWS::EC2::InstanceAWS::EC2::InternetGatewayAWS::EC2::NetworkAclAWS::EC2::NetworkInterfaceAWS::EC2::RouteTableAWS::EC2::SecurityGroupAWS::EC2::SubnetAWS::EC2::VolumeAWS::EC2::VPCAWS::EC2::VPNConnectionAWS::EC2::VPNGatewayAWS::ElasticLoadBalancing::LoadBalancerAWS::ElasticLoadBalancingV2::LoadBalancerAWS::RDS::DBInstanceAWS::RDS::DBSecurityGroupAWS::RDS::DBSnapshotAWS::RDS::DBSubnetGroupAWS::RDS::EventSubscriptionAWS::Redshift::ClusterAWS::Redshift::ClusterParameterGroupAWS::Redshift::ClusterSecurityGroupAWS::Redshift::ClusterSnapshotAWS::Redshift::ClusterSubnetGroupAWS::S3::Bucket |
| RESTRICTED_INCOMING_TRAFFIC | 使用中のセキュリティグループが、指定されたポートへの無制限の着信 Transmission Control Protocol (TCP) トラフィックを不許可にしているかどうかを確認します。以下の場合、ルールは COMPLIANT です。 | AWS::EC2::SecurityGroup |
| ROOT_ACCOUNT_HARDWARE_MFA_ENABLED | AWS アカウントが多要素認証 (MFA) ハードウェアデバイスを使用してルート認証情報でサインインできるかどうかを確認します。このルールは、ルート認証情報でサインインすることが許可されている仮想 MFA デバイスがあれば NON_COMPLIANT です。 | - |
| ROOT_ACCOUNT_MFA_ENABLED | AWS アカウントのルートユーザーがコンソールサインインに多要素認証が必要かどうかを確認します。 AWS Identity and Access Management (IAM) ルートアカウントユーザーが多要素認証 (MFA) を有効にしていない場合、ルールは NON_COMPLIANT です。 | - |
| ROUTE53_HEALTH_CHECK_TAGGED | Amazon Route 53 ヘルスチェックにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Route53::HealthCheck |
| ROUTE53_HOSTED_ZONE_TAGGED | Amazon Route 53 ホストゾーンにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Route53::HostedZone |
| ROUTE53_QUERY_LOGGING_ENABLED | Amazon Route 53 パブリックホストゾーンで DNS クエリログ記録が有効になっているかどうかを確認します。Amazon Route 53 パブリックホストゾーンで DNS クエリのログ記録が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::Route53::HostedZone |
| ROUTE53_RESOLVER_FIREWALL_DOMAIN_LIST_TAGGED | Amazon Route 53 Resolver ファイアウォールのドメインリストにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Route53Resolver::FirewallDomainList |
| ROUTE53_RESOLVER_FIREWALL_RULE_GROUP_ASSOCIATION_TAGGED | Amazon Route 53 Resolver ファイアウォールルールグループの関連付けにタグがあるかどうかを確認します。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Route53Resolver::FirewallRuleGroupAssociation |
| ROUTE53_RESOLVER_FIREWALL_RULE_GROUP_TAGGED | Amazon Route 53 Resolver ファイアウォールのルールグループにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Route53Resolver::FirewallRuleGroup |
| ROUTE53_RESOLVER_RESOLVER_RULE_TAGGED | Amazon Route 53 Resolver リゾルバールールにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Route53Resolver::ResolverRule |
| RUM_APP_MONITOR_CLOUDWATCH_LOGS_ENABLED | Amazon CloudWatch RUM アプリモニタで CloudWatch ログが有効になっているかどうかを確認します。configuration.CwLogEnabled が false の場合、ルールは NON_COMPLIANT です。 | AWS::RUM::AppMonitor |
| RUM_APP_MONITOR_TAGGED | Amazon CloudWatch RUM アプリモニタにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::RUM::AppMonitor |
| S3EXPRESS_DIR_BUCKET_LIFECYCLE_RULES_CHECK | Amazon S3 Express ディレクトリバケットにライフサイクルルールが設定されているかどうかを確認します。アクティブなライフサイクル設定ルールがない場合、または設定がパラメータ値と一致しない場合、ルールは NON_COMPLIANT です。 | AWS::S3Express::DirectoryBucket |
| S3_ACCESS_POINT_IN_VPC_ONLY | Amazon S3 Access Points がインターネットからのアクセスを許可していないかどうかを確認します (NetworkOrigin は VPC)。NetworkOrigin が Internet の場合、ルールは NON_COMPLIANT です。 | AWS::S3::AccessPoint |
| S3_ACCESS_POINT_PUBLIC_ACCESS_BLOCKS | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっているかどうかを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::S3::AccessPoint |
| S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されているかどうかを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON_COMPLIANT のみです。 | AWS::S3::AccountPublicAccessBlock |
| S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC | 必要なパブリックアクセスブロック設定がアカウントレベルで設定されているかどうかを確認します。設定項目がパラメータ (またはデフォルト) の 1 つ以上の設定と一致しない場合、ルールは NON_COMPLIANT になります。 | AWS::::Account |
| s3-bucket-acl-prohibited | Amazon Simple Storage Service (Amazon S3) バケットが、アクセスコントロールリスト (ACL) 経由でのユーザー許可を許容するかどうかを確認します。Amazon S3 バケットでのユーザーアクセスに ACL が設定されている場合、ルールは NON_COMPLIANT になります。 | AWS::S3::Bucket |
| s3-bucket-blacklisted-actions-prohibited | Amazon Simple Storage Service (Amazon S3) バケットポリシーが、他の AWS アカウントのプリンシパルのバケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションを許可していないかどうかを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、別の AWS アカウントがバケット内のオブジェクトs3:DeleteObjectに対してs3:GetBucket*アクションを実行することを許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_CROSS_REGION_REPLICATION_ENABLED | Amazon S3 バケットに対して S3 クロスリージョンレプリケーションを有効にしたかどうかを確認します。クロスリージョンレプリケーションに対してレプリケーションルールが有効になっていない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_DEFAULT_LOCK_ENABLED | S3 バケットのロックがデフォルトで有効になっているかどうかを確認します。ロックが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_LEVEL_PUBLIC_ACCESS_PROHIBITED | S3 バケットがパブリックにアクセス可能かどうかを確認します。S3 バケットがexcludedPublicBucketsパラメータにリストされておらず、バケットレベルの設定がパブリックに設定されている場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_LOGGING_ENABLED | S3 バケットに対してログ記録が有効になっているかどうか確認します。ログ記録が有効でない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_MFA_DELETE_ENABLED | Amazon Simple Storage Service (Amazon S3) バケットバージョニング設定で MFA 削除が有効になっているかどうかを確認します。MFA 削除が有効でない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_POLICY_GRANTEE_CHECK | Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または VPCs によって制限されていることを確認します。バケットポリシーが存在しない場合、ルールは COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_POLICY_NOT_MORE_PERMISSIVE | Amazon Simple Storage Service バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | AWS::S3::Bucket |
| S3_BUCKET_PUBLIC_READ_PROHIBITED | Amazon S3 バケットでパブリック読み取りアクセスが許可されていないかどうかを確認します。このルールは、パブリックアクセスのブロック設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を確認します。 | AWS::S3::Bucket |
| S3_BUCKET_PUBLIC_WRITE_PROHIBITED | Amazon S3 バケットでパブリック書き込みアクセスが許可されていないかどうかを確認します。このルールは、パブリックアクセスのブロック設定、バケットポリシー、およびバケットアクセスコントロールリスト (ACL) を確認します。 | AWS::S3::Bucket |
| S3_BUCKET_REPLICATION_ENABLED | S3 バケットでレプリケーションルールが有効になっているかどうかを確認します。S3 バケットにレプリケーションルールがない、または有効化されていない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED | Amazon S3 バケットで S3 のデフォルトの暗号化が有効になっていること、または S3 バケットポリシーが AES-256 またはput-objectを使用するサーバー側の暗号化を使用していない AWS Key Management Serviceリクエストを明示的に拒否することを確認します。Amazon S3 バケットが、デフォルトで暗号化されていない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_SSL_REQUESTS_ONLY | S3 バケットに、SSL/TLS を使用するリクエストを要求するポリシーがあるかどうか確認します。いずれかの S3 バケットに HTTP リクエストを許可するポリシーがある場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_BUCKET_TAGGED | Amazon S3 バケットにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::S3::Bucket |
| S3_BUCKET_VERSIONING_ENABLED | S3 バケットに対してバージョニングが有効になっているかどうかを確認します。オプションで、S3 バケットに対して MFA 削除が有効になっているかどうかを確認します。 | AWS::S3::Bucket |
| S3_DEFAULT_ENCRYPTION_KMS | S3 バケットが AWS Key Management Service (AWS KMS) で暗号化されているかどうかを確認します。S3 バケットが KMS キーで暗号化されていない場合、ルールは NON_COMPLIANT AWS です。 | AWS::S3::バケットAWS::KMS::Key |
| S3_EVENT_NOTIFICATIONS_ENABLED | S3 バケットで Amazon S3 イベント通知が有効になっているかどうかを確認します。S3 イベント通知がバケットに設定されていない場合、またはイベントタイプまたは宛先がeventTypesおよび destinationArn パラメータと一致しない場合、ルールは NON_COMPLIANT になります。 | AWS::S3::Bucket |
| S3_LAST_BACKUP_RECOVERY_POINT_CREATED | Amazon Simple Storage Service (Amazon S3) のリカバリポイントが作成されたかどうかを確認します。Amazon S3 バケットに対応するリカバリポイントが指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_LIFECYCLE_POLICY_CHECK | Amazon Simple Storage Service (Amazon S3) バケットのライフサイクルルールが設定されているかどうかを確認します。アクティブなライフサイクル設定ルールがない場合、または設定がパラメータ値と一致しない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_MEETS_RESTORE_TIME_TARGET | Amazon Simple Storage Service (Amazon S3) バケットの復元時間が、指定された期間と一致しているかどうかを確認します。Amazon S3 バケットの LatestRestoreExecutionTimeMinutes が maxRestoreTime の値より大きい場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT | Amazon Simple Storage Service (Amazon S3) バケットが論理エアギャップボールトにあるかどうかを確認します。Amazon S3 バケットが指定された期間内に論理エアギャップボールトにない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| S3_RESOURCES_PROTECTED_BY_BACKUP_PLAN | Amazon Simple Storage Service (Amazon S3) バケットがバックアッププランで保護されているかどうかを確認します。Amazon S3 バケットがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::S3::Bucket |
| s3-version-lifecycle-policy-check | Amazon Simple Storage Service (Amazon S3) のバージョニングが有効化されたバケットにライフサイクルポリシーが設定されているかどうかを確認します。Amazon S3 ライフサイクルポリシーが有効化されていない場合、ルールは NON_COMPLIANT になります。 | AWS::S3::Bucket |
| SAGEMAKER_APP_IMAGE_CONFIG_TAGGED | Amazon SageMaker アプリイメージ設定にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::SageMaker::AppImageConfig |
| SAGEMAKER_DOMAIN_IN_VPC | Amazon SageMaker ドメインが EFS 以外のトラフィックに顧客所有の Amazon Virtual Private Cloud (VPC) を使用しているかどうかを確認します。configuration.AppNetworkAccessType が VpcOnly に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::Domain |
| SAGEMAKER_DOMAIN_TAGGED | Amazon SageMaker ドメインにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::SageMaker::Domain |
| SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURED | Key Management Service (AWS KMS) AWS キーが Amazon SageMaker エンドポイント設定に設定されているかどうかを確認します。Amazon SageMaker エンドポイントの設定に対して 'KmsKeyId' が指定されていない場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::EndpointConfig |
| SAGEMAKER_ENDPOINT_CONFIG_PROD_INSTANCE_COUNT | Amazon SageMaker エンドポイント設定に、量産バリアント「InitialInstanceCount」が 1 より大きい値に設定されているかどうかを確認します。量産バリアント「InitialInstanceCount」が 1 に等しい場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::EndpointConfig |
| SAGEMAKER_FEATURE_GROUP_TAGGED | Amazon SageMaker 特徴量グループにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::SageMaker::FeatureGroup |
| SAGEMAKER_IMAGE_DESCRIPTION | Amazon SageMaker イメージに説明があるかどうかを確認します。configuration.ImageDescription が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::Image |
| SAGEMAKER_IMAGE_TAGGED | Amazon SageMaker イメージにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::SageMaker::Image |
| SAGEMAKER_MODEL_IN_VPC | Amazon SageMaker モデルがコンテナトラフィックに Amazon Virtual Private Cloud (Amazon VPC) を使用しているかどうかを確認します。configuration.VpcConfig が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::Model |
| SAGEMAKER_MODEL_ISOLATION_ENABLED | Amazon SageMaker モデルでネットワーク分離が有効になっているかどうかを確認します。Configuration.EnableNetworkIsolation が False に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::Model |
| SAGEMAKER_NOTEBOOK_INSTANCE_INSIDE_VPC | Amazon SageMaker ノートブックインスタンスが VPC 内または承認されたサブネットのリスト内のどちらで起動されているのかを確認します。ノートブックインスタンスが VPC 内で起動されていない場合、またはサブネット ID がパラメータリストに含まれていない場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::NotebookInstance |
| SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED | Amazon SageMaker ノートブックインスタンスに AWS Key Management Service (AWS KMS) キーが設定されているかどうかを確認します。 Amazon SageMaker SageMaker ノートブックインスタンスに対して「KmsKeyId」が指定されていない場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::NotebookInstance |
| SAGEMAKER_NOTEBOOK_INSTANCE_PLATFORM_VERSION | リソースタイプ:AWS::SageMaker::NotebookInstance | AWS::SageMaker::NotebookInstance |
| SAGEMAKER_NOTEBOOK_INSTANCE_ROOT_ACCESS_CHECK | Amazon SageMaker ノートブックインスタンスで Amazon SageMaker RootAccess 設定が有効になっているかどうかを確認します。Amazon SageMaker ノートブックインスタンスで RootAccess が「有効」に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::NotebookInstance |
| SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS | Amazon SageMaker ノートブックインスタンスで直接インターネットアクセスが無効になっているかどうかを確認します。SageMaker ノートブックインスタンスがインターネット対応の場合、ルールは NON_COMPLIANT です。 | AWS::SageMaker::NotebookInstance |
| SECRETSMANAGER_ROTATION_ENABLED_CHECK | AWS Secrets Manager シークレットでローテーションが有効になっているかどうかを確認します。このルールでは、オプションのmaximumAllowedRotationFrequencyパラメータも確認されます。 パラメータが指定されている場合、シークレットのローテーション頻度は許可されている最大頻度と比較されます。シークレットのローテーションがスケジュールされていない場合、ルールは NON_COMPLIANT です。ローテーション頻度が maximumAllowedRotationFrequency パラメータで指定された数よりも高い場合も、ルールは NON_COMPLIANT になります。 | AWS::SecretsManager::Secret |
| SECRETSMANAGER_SCHEDULED_ROTATION_SUCCESS_CHECK | AWS Secrets Manager シークレットがローテーションスケジュールに従って正常にローテーションされたかどうかを確認します。Secrets Manager はローテーションが行われる日付を計算します。日付が過ぎてシークレットがローテーションされるまで、ルールは NON_COMPLIANT です。 | AWS::SecretsManager::Secret |
| SECRETSMANAGER_SECRET_PERIODIC_ROTATION | AWS Secrets Manager のシークレットが過去指定された日数ローテーションされているかどうかを確認します。シークレットが maxDaysSinceRotation の日数を超えてローテーションされていない場合、ルールは NON_COMPLIANT です。デフォルト値は 90 日です。 | AWS::SecretsManager::Secret |
| SECRETSMANAGER_SECRET_UNUSED | AWS Secrets Manager シークレットが指定された日数内にアクセスされたかどうかを確認します。シークレットが「unusedForDays」の日数以内にアクセスされていない場合、ルールは NON_COMPLIANT です。デフォルト値は 90 日です。 | AWS::SecretsManager::Secret |
| SECRETSMANAGER_USING_CMK | 内のすべてのシークレット AWS Secrets Manager が、 AWS マネージドキー (aws/secretsmanager) または () で作成されたカスタマーマネージドキーを使用して暗号化されているかどうかを確認します AWS Key Management Service AWS KMS。シークレットが、カスタマーマネージド型キーを使用して暗号化されている場合、このルールは COMPLIANT です。シークレットがaws/secretsmanagerを使用して暗号化されている場合、このルールは COMPLIANT です。 | AWS::SecretsManager::Secret |
| securityhub-enabled | AWS アカウントで AWS Security Hub が有効になっているかどうかを確認します。 AWS Security Hub が有効になっていない場合、ルールは NON_COMPLIANT です。 | - |
| SECURITY_ACCOUNT_INFORMATION_PROVIDED | AWS アカウントの連絡先にセキュリティ連絡先情報を提供したかどうかを確認します。アカウント内のセキュリティの連絡先情報が指定されていない場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| SERVICE_CATALOG_PORTFOLIO_TAGGED | AWS Service Catalog ポートフォリオリソースにタグがあるかどうかを確認します。必要に応じて、必要なタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::ServiceCatalog::Portfolio |
| SERVICE_CATALOG_SHARED_WITHIN_ORGANIZATION | Organizations との統合が有効になっている場合、 AWS Service Catalog がポートフォリオを組織 (単一ユニットとして扱われる AWS アカウントのコレクション) AWS と共有しているかどうかを確認します。共有の「Type」値が「ACCOUNT」の場合、ルールは NON_COMPLIANT です。 | AWS::ServiceCatalog::Portfolio |
| SERVICE_VPC_ENDPOINT_ENABLED | ルールパラメータで指定されたサービスのサービスエンドポイントが Amazon Virtual Private Cloud (Amazon VPC) ごとに作成されるかどうかを確認します。サービス用に作成された Amazon VPC エンドポイントが Amazon VPC にない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::VPC |
| SES_MALWARE_SCANNING_ENABLED | Amazon Simple Email Service (Amazon SES) で、メッセージ受信時のマルウェアおよびスパムのスキャンが有効かどうかを確認します。マルウェアおよびスパムのスキャンが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::SES::ReceiptRule |
| SES_SENDING_TLS_REQUIRED | Amazon Simple Email Service (SES) 設定セットに、E メール配信に TLS 暗号化が適用されているかどうかを確認します。設定セットで TLS ポリシーが「REQUIRE」に設定されていない場合、ルールは NON_COMPLIANT です。 | AWS::SES::ConfigurationSet |
| SHIELD_ADVANCED_ENABLED_AUTORENEW | AWS Shield Advanced AWS がアカウントで有効になっており、このサブスクリプションが自動的に更新されるように設定されているかどうかを確認します。Shield Advanced が有効で、自動更新が有効になっている場合、ルールは COMPLIANT です。 | - |
| SHIELD_DRT_ACCESS | Shield Response Team (SRT) がアカウントにアクセスできるかどうかを確認します AWS 。 AWS Shield Advanced が有効になっていても SRT アクセスのロールが設定されていない場合、ルールは NON_COMPLIANT です。 | - |
| SNS_ENCRYPTED_KMS | SNS トピックが AWS Key Management Service (AWS KMS) で暗号化されているかどうかを確認します。SNS トピックが KMS で暗号化されていない場合、ルールは NON_COMPLIANT AWS です。必要に応じて、確認するルールのキー ARN、エイリアス ARN 、エイリアス名、またはキー ID を指定します。 | AWS::SNS::Topic |
| SNS_TOPIC_MESSAGE_DELIVERY_NOTIFICATION_ENABLED | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっているかどうかを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON_COMPLIANT です。 | AWS::SNS::Topic |
| SNS_TOPIC_NO_PUBLIC_ACCESS | SNS トピックアクセスポリシーがパブリックアクセスを許可するかどうかを確認します。SNS トピックアクセスポリシーがパブリックアクセスを許可している場合、このルールは NON_COMPLIANT です。 | AWS::SNS::Topic |
| SQS_QUEUE_DLQ_CHECK | Amazon Simple Queue Service (Amazon SQS) キューにデッドレターキュー (DLQ) を使用する設定があるかどうかを確認します。Amazon SQS キューに DLQ を使用する設定がない場合、ルールは NON_COMPLIANT です。 | AWS::SQS::Queue |
| SQS_QUEUE_NO_PUBLIC_ACCESS | SQS キューアクセスポリシーがパブリックアクセスを許可するかどうかを確認します。SQS キューアクセスポリシーがパブリックアクセスを許可している場合、このルールは NON_COMPLIANT です。 | AWS::SQS::Queue |
| SQS_QUEUE_POLICY_FULL_ACCESS_CHECK | SQS キューアクセスポリシーがフルアクセスを許可するかどうかを確認します。SQS ポリシーに「Action」内に「SQS:*」が含まれ、「Effect」が「Allow」である場合、ルールは NON_COMPLIANT です。 | AWS::SQS::Queue |
| SSM_AUTOMATION_BLOCK_PUBLIC_SHARING | AWS Systems Manager ドキュメントでブロックパブリック共有が有効になっているかどうかを確認します。Systems Manager ドキュメントでパブリック共有のブロックが無効になっている場合、ルールは NON_COMPLIANT です。 | AWS::::Account |
| SSM_AUTOMATION_LOGGING_ENABLED | AWS Systems Manager Automation で Amazon CloudWatch ログ記録が有効になっているかどうかを確認します。Systems Manager Automation で CloudWatch ログ記録が有効になっていない場合、ルールは NON_COMPLIANT を返します。 | AWS::::Account |
| SSM_DOCUMENT_NOT_PUBLIC | アカウントが所有する AWS Systems Manager ドキュメントがパブリックかどうかを確認します。所有者が「Self」になっている Systems Manager ドキュメントがパブリックである場合、ルールは NON_COMPLIANT です。 | AWS::SSM::Document |
| SSM_DOCUMENT_TAGGED | AWS Systems Manager ドキュメントにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::SSM::Document |
| STEPFUNCTIONS_STATE_MACHINE_TAGGED | AWS Step Functions ステートマシンにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::StepFunctions::StateMachine |
| STEP_FUNCTIONS_STATE_MACHINE_LOGGING_ENABLED | AWS Step Functions マシンでログ記録が有効になっているかどうかを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON_COMPLIANT です。 | AWS::StepFunctions::StateMachine |
| STORAGEGATEWAY_LAST_BACKUP_RECOVERY_POINT_CREATED | AWS Storage Gatewayボリュームの復旧ポイントが作成されたかどうかを確認します。Storage Gateway ボリュームに対応するリカバリポイントが、指定した期間内に作成されていない場合、ルールは NON_COMPLIANT です。 | AWS::StorageGateway::Volume |
| STORAGEGATEWAY_RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT | AWS Storage Gatewayボリュームが論理エアギャップボールトにあるかどうかを確認します。指定した期間内に AWS Storage Gatewayボリュームが論理エアギャップボールトにない場合、ルールは NON_COMPLIANT です。 | AWS::StorageGateway::Volume |
| STORAGEGATEWAY_RESOURCES_PROTECTED_BY_BACKUP_PLAN | AWS Storage Gatewayボリュームがバックアッププランで保護されているかどうかを確認します。Storage Gateway ボリュームがバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::StorageGateway::Volume |
| SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED | Amazon Virtual Private Cloud (Amazon VPC) サブネット内で起動されたインスタンスにパブリック IP アドレスを自動的に割り当てるように設定されているかどうかを確認します。サブネットがパブリック IPv4 アドレスまたは IPv6 アドレスを自動割り当てしない場合、このルールは COMPLIANT です。サブネットがパブリック IPv4 アドレスまたは IPv6 アドレスを自動割り当てする場合、このルールは NON_COMPLIANT です。 | AWS::EC2::Subnet |
| TRANSFER_AGREEMENT_DESCRIPTION | AWS Transfer Family 契約に説明があるかどうかを確認します。configuration.Description が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::Transfer::Agreement |
| TRANSFER_AGREEMENT_TAGGED | AWS Transfer Family 契約にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Transfer::Agreement |
| TRANSFER_CERTIFICATE_DESCRIPTION | AWS Transfer Family 証明書に説明があるかどうかを確認します。configuration.Description が存在しない場合、ルールは NON_COMPLIANT です。 | AWS::Transfer::Certificate |
| TRANSFER_CERTIFICATE_TAGGED | AWS Transfer Family 証明書にタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Transfer::Certificate |
| TRANSFER_CONNECTOR_LOGGING_ENABLED | AWS Transfer Family Connector が Amazon CloudWatch にログを発行するかどうかを確認します。コネクタに LoggingRole が付与されていない場合、ルールは NON_COMPLIANT です。 | AWS::Transfer::Connector |
| TRANSFER_CONNECTOR_TAGGED | AWS Transfer Family コネクタにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Transfer::Connector |
| TRANSFER_FAMILY_SERVER_NO_FTP | AWS Transfer Family で作成されたサーバーがエンドポイント接続に FTP を使用しているかどうかを確認します。エンドポイント接続のサーバープロトコルが FTP 対応の場合、ルールは NON_COMPLIANT です。 | AWS::Transfer::Server |
| TRANSFER_PROFILE_TAGGED | AWS Transfer Family プロファイルにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Transfer::Profile |
| TRANSFER_WORKFLOW_DESCRIPTION | AWS Transfer Family ワークフローに説明があるかどうかを確認します。configuration.Description が存在しないか、空の文字列である場合、ルールは NON_COMPLIANT です。 | AWS::Transfer::Workflow |
| TRANSFER_WORKFLOW_TAGGED | AWS Transfer Family ワークフローにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::Transfer::Workflow |
| VIRTUALMACHINE_LAST_BACKUP_RECOVERY_POINT_CREATED | AWS Backup-Gateway VirtualMachines の復旧ポイントが作成されたかどうかを確認します。 AWS Backup-Gateway VirtualMachines に、指定された期間内に作成された対応する復旧ポイントがない場合、ルールは NON_COMPLIANT です。 | AWS::BackupGateway::VirtualMachine |
| VIRTUALMACHINE_RESOURCES_IN_LOGICALLY_AIR_GAPPED_VAULT | AWS Backup-Gateway VirtualMachines が論理エアギャップボールトにあるかどうかを確認します。Backup AWS -Gateway VirtualMachines が指定された期間内に論理エアギャップボールトにない場合、ルールは NON_COMPLIANT です。 | AWS::BackupGateway::VirtualMachine |
| VIRTUALMACHINE_RESOURCES_PROTECTED_BY_BACKUP_PLAN | AWS Backup-Gateway VirtualMachines がバックアッププランで保護されているかどうかを確認します。Backup-Gateway VirtualMachine がバックアップ計画の対象でない場合、ルールは NON_COMPLIANT です。 | AWS::BackupGateway::VirtualMachine |
| VPC_DEFAULT_SECURITY_GROUP_CLOSED | 任意の Amazon Virtual Private Cloud (Amazon VPC) のデフォルトのセキュリティグループがインバウンドまたはアウトバウンドのトラフィックを許可していないかどうかを確認します。デフォルトのセキュリティグループに 1 つ以上のインバウンドトラフィックまたはアウトバウンドトラフィックがある場合、ルールは NON_COMPLIANT です。 | AWS::EC2::SecurityGroup |
| VPC_ENDPOINT_ENABLED | パラメータで指定された各サービスに Amazon VPC エンドポイントがあるかどうかをチェックします。各指定サービス用に作成された VPC エンドポイントが Amazon VPC にない場合、ルールは NON_COMPLIANT です。必要に応じて、ルールがチェックする特定の VPC を指定できます。 | AWS::EC2::VPC |
| VPC_FLOW_LOGS_ENABLED | Amazon Virtual Private Cloud (Amazon VPC) フローログがすべての Amazon VPC で見つかり、有効になっているかどうかを確認します。少なくとも 1 つの Amazon VPC でフローログが有効でない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::VPC |
| VPC_NETWORK_ACL_UNUSED_CHECK | 未使用のネットワークアクセスコントロールリスト (ネットワーク ACL) があるかどうかを確認します。各ネットワーク ACL がサブネットに関連付けられている場合、ルールは COMPLIANT です。ネットワーク ACL がサブネットに関連付けられていない場合、ルールは NON_COMPLIANT です。 | AWS::EC2::NetworkAcl |
| VPC_PEERING_DNS_RESOLUTION_CHECK | アクセプタ/リクエスタ VPC からプライベート IP への DNS 解決が有効かどうかを確認します。このルールは、アクセプタ/リクエスタ VPC からプライベート IP への DNS 解決が有効でない場合、NON_COMPLIANT になります。 | AWS::EC2::VPCPeeringConnection |
| VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS | 無制限の着信トラフィックを許可するセキュリティグループ (「0.0.0.0/0」または「::/0」) が、許可されたポートでのインバウンド TCP または UDP 接続のみを許可するかどうかをチェックします。このようなセキュリティグループにルールパラメータで指定されたポートがない場合、ルールは NON_COMPLIANT になります。 | AWS::EC2::SecurityGroup |
| VPC_SG_PORT_RESTRICTION_CHECK | セキュリティグループが、0.0.0.0/0 または ::/0 から明示的に制限されたポートに受信トラフィックを制限するかどうかを確認します。セキュリティグループが TCP/UDP ポート 22/3389 経由またはパラメータで指定された 0.0.0.0/0 または ::/0 からの受信トラフィックを許可する場合、ルールは NON_COMPLIANT です。 | AWS::EC2::SecurityGroup |
| VPC_VPN_2_TUNNELS_UP | Site AWS Site-to-SiteVPN) トンネルが UP ステータスになっているかどうかを確認します。1 つまたは両方のトンネルのステータスが DOWN の場合、ルールは NON_COMPLIANT です。 | AWS::EC2::VPNConnection |
| WAFV2_LOGGING_ENABLED | AWS WAFv2 リージョンおよびグローバルウェブアクセスコントロールリスト (ウェブ ACLs) でログ記録が有効になっているかどうかを確認します。ログ記録が有効になっていても、ログ記録の送信先がパラメータの値と一致しない場合、ルールは NON_COMPLIANT です。 | AWS::WAFv2::WebACL |
| WAFV2_RULEGROUP_LOGGING_ENABLED | AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっているかどうかを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON_COMPLIANT です。 | AWS::WAFv2::RuleGroup |
| WAFV2_RULEGROUP_NOT_EMPTY | WAFv2 ルールグループにルールが含まれているかどうかを確認します。WAFv2 ルールグループにルールがない場合、ルールは NON_COMPLIANT になります。 | AWS::WAFv2::RuleGroup |
| WAFV2_WEBACL_NOT_EMPTY | WAFv2 ウェブ ACL に WAF ルールまたは WAF ルールグループが含まれているかどうかを確認します。ウェブ ACL に WAF ルールまたは WAF ルールグループが含まれていない場合、ルールは NON_COMPLIANT です。 | AWS::WAFv2::WebACL |
| WAF_CLASSIC_LOGGING_ENABLED | AWS WAF Classic Global Web Access Control List (ウェブ ACLs) でログ記録が有効になっているかどうかを確認します。ログ記録が有効になっていない場合、ルールはグローバルウェブ ACL に対して NON_COMPLIANT です。 | AWS::WAF::WebACL |
| WAF_GLOBAL_RULEGROUP_NOT_EMPTY | AWS WAF Classic ルールグループにルールが含まれているかどうかを確認します。ルールグループにルールがない場合、ルールは NON_COMPLIANT になります。 | AWS::WAF::RuleGroup |
| WAF_GLOBAL_RULE_NOT_EMPTY | AWS WAF グローバルルールに条件が含まれているかどうかを確認します。WAF グローバルルール内に条件がない場合、ルールは NON_COMPLIANT です。 | AWS::WAF::Rule |
| waf-global-webacl-not-empty | WAF のグローバルウェブ ACL に WAF ルールまたはルールグループが含まれているかどうかを確認します。ウェブ ACL に WAF ルールまたはルールグループが含まれていない場合、ルールは NON_COMPLIANT になります。 | AWS::WAF::WebACL |
| WAF_REGIONAL_RULEGROUP_NOT_EMPTY | WAF のリージョンルールグループにルールが含まれているかどうかを確認します。WAF リージョンルールグループにルールがない場合、ルールは NON_COMPLIANT になります。 | AWS::WAFRegional::RuleGroup |
| WAF_REGIONAL_RULE_NOT_EMPTY | WAF リージョンルールに条件が含まれているかどうかを確認します。リージョンルールに少なくとも 1 つの条件が含まれている場合、このルールは COMPLIANT になります。それ以外の場合は、NON_COMPLIANT になります。 | AWS::WAFRegional::Rule |
| WAF_REGIONAL_WEBACL_NOT_EMPTY | WAF のリージョンウェブ ACL に WAF ルールまたはルールグループが含まれているかどうかを確認します。ウェブ ACL に WAF ルールまたはルールグループがない場合、ルールは NON_COMPLIANT になります。 | AWS::WAFRegional::WebACL |
| WORKSPACES_CONNECTION_ALIAS_TAGGED | Amazon WorkSpaces 接続エイリアスにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::WorkSpaces::ConnectionAlias |
| WORKSPACES_ROOT_VOLUME_ENCRYPTION_ENABLED | Amazon WorkSpace ボリュームでルートボリュームの暗号化設定が有効になっているかどうかを確認します。ルートボリュームに対して暗号化設定が有効でない場合、このルールは NON_COMPLIANT です。 | AWS::WorkSpaces::Workspace |
| WORKSPACES_USER_VOLUME_ENCRYPTION_ENABLED | Amazon WorkSpace ボリュームでユーザーボリュームの暗号化設定が有効になっているかどうかを確認します。ユーザーボリュームに対して暗号化設定が有効でない場合、このルールは NON_COMPLIANT です。 | AWS::WorkSpaces::Workspace |
| WORKSPACES_WORKSPACE_TAGGED | Amazon WorkSpaces ワークスペースにタグがあるかどうかを確認します。必要に応じてタグキーを指定できます。タグがない場合、または指定されたタグキーが存在しない場合、ルールは NON_COMPLIANT です。このルールは「aws:」で始まるタグをチェックしません。 | AWS::WorkSpaces::Workspace |