- すべてのIAMユーザーはいずれかのIAMグループに所属していること
- タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 3306番(MySQL)の許可ルールが存在すること
- CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること
- 全てのS3バケットは指定されたキーのタグが付与されていること
- 全てのEBSボリュームに指定されたキーのタグが付与されていること
- タグで指定されたElastiCacheクラスター(Redis)がMulti Availability Zoneで構成されており、フェイルオーバーが有効となっていること
- すべてのIAMグループはIAM Policyが一つ以上割り当たっていること
- セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 22番(SSH)の許可ルールが存在しないこと
- 全てのEC2インスタンスは指定されたキーのタグが付与されていること
- DBインスタンスはAutomated Backupsが有効になっていること
- タグで指定したVPCのVPC Flow Logsが有効化されログの保存先としてCloudWatch Logsのロググループが指定されていること
- タグで指定されたELBがタグで指定されたVPCで起動されていること
- Trusted Advisorによるチェックのステータスが全て「OK」となっていること
- 請求レポートの出力先としてS3バケットが設定されていること
- タグで指定されたElastiCacheクラスターがタグで指定されたVPCで起動されていること
- タグで指定されたDBインスタンスはMulti Availability Zoneオプションが有効になっていること
- タグで指定されたElastiCacheクラスター(Memcached)がMulti Availability Zoneで構成されていること
- 仮想デバイスを使ってルートアカウントに多要素認証が有効化されていること
- ELBにはAWSで定義された最新のSSLポリシーが設定されていること
- CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること
- タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 6379番(Redis)の許可ルールが存在すること
- タグで指定されたELBがMulti Availability Zoneで構成されており、EC2インスタンスが均等に割り当てられていること
- IAMユーザーが1つ以上作成されていること
- 請求レポートの出力先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
- ELBのログ出力先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
- タグで指定されたディストリビューションのSSLサーバー証明書にCertificate Managerが使われていること
- タグで指定されたDBインスタンスがタグで指定されたVPCで起動されていること
- ELBのログ出力が有効化されており、設定されたS3バケットにログが出力されていること
- タグで指定されたELBのSSLサーバー証明書にCertificate Managerが使われていること
- すべてのIAMユーザーは個別にIAM Policyが設定されていないこと
- タグで指定されたEC2インスタンスがタグで指定されたVPCで起動されていること
- タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 22番(SSH)の許可ルールが存在すること
- 指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと
- タグで指定されたWindows ServerのEC2インスタンスにEC2Configがインストールされていること
- CloudTrailが有効化され、ログの保存先としてS3バケットが指定されていること
- タグで指定されたEC2インスタンスが複数のアベイラビリティゾーンで稼働されていること
- タグで指定されたEC2インスタンスにssm-agentがインストールされていること
- タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 3389番(RDP)の許可ルールが存在すること
- タグで指定されたEC2インスタンスに指定されたIAMロールが割り当たっていること
- IAMグループが1つ以上作成されていること
- CloudWatchの請求アラートが有効化されていること
- 全てのDBインスタンスは指定されたキーのタグが付与されていること
- タグで指定したセキュリティグループのインバウンドルールには、指定されたメンテナンス拠点のIPアドレスを指定したTCP 1121番(Memcached)の許可ルールが存在すること
- 指定したユーザーだけが、指定した管理者グループに所属していること
- 全てのVPN接続は指定されたキーのタグが付与されていること
- CloudTrailのログ保存先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
- セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 3389番(RDP)の許可ルールが存在しないこと