Des garde-corps qui améliorent la protection de la résidence des données - AWS Control Tower
Vidéo : Activer les garde-fous relatifs à la résidence des donnéesRefuser l'accès àAWSsur la base de la demandeAWSRégionInterdire l'accès à Internet pour une instance Amazon VPC gérée par un clientInterdire les connexions au réseau privé virtuel (VPN) AmazonInterdire la mise en réseau entre régions pour Amazon EC2, Amazon CloudFront, etAWSGlobal Accelerator Détectez si les adresses IP publiques pour la mise à l'échelle automatique d'Amazon EC2 sont activées via les configurations de lancement Détectez si des instances de réplication pourAWSLes Database Migration Service de données Déterminez si les instantanés Amazon EBS peuvent être restaurés par tousAWScomptesDétectez si une instance Amazon EC2 possède une adresse IPv4 publique associéeDétecter si les paramètres Amazon S3 pour bloquer l'accès public sont définis comme vrais pour le compteDétecte si l'accès public à un point de terminaison Amazon EKS est bloquéDétecter si un Amazon OpenSearch Le domaine de service se trouve dans Amazon VPCDétectez si des nœuds principaux du cluster Amazon EMR ont des adresses IP publiquesDétecter si leAWSLa politique de fonction Lambda attachée à la ressource Lambda bloque l'accès publicDétecter si des routes publiques existent dans la table de routage d'une Internet Gateway (IGW) Détecter si l'accès public aux clusters Amazon Redshift est bloquéDétecter si un Amazon SageMaker l'instance de bloc-notes permet un accès directDétecter si une adresse IP publique est attribuée à des sous-réseaux Amazon VPCDétectez si les documents AWS Systems Manager détenus par le compte sont publics

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Des garde-corps qui améliorent la protection de la résidence des données

Ces garde-fous facultatifs complètent la posture de résidence des données de votre entreprise. En appliquant ces garde-fous ensemble, vous pouvez configurer votre environnement multi-comptes pour détecter et empêcher la création, le partage ou la copie intentionnels ou accidentels de données, en dehors de votre sélectionAWSRegion (Régions).

Ces garde-fous prennent effet au niveau de l'unité d'organisation et s'appliquent à tous les comptes des membres au sein de l'unité d'organisation.

Important

Certains services AWS mondiaux, tels qu'AWS Identity and Access Management (IAM) etAWS Organizations, sont exemptés de ces garde-corps. Vous pouvez identifier les services exemptés en consultant leRégion : refuser une SCP, illustré dans l'exemple de code. Les services avec « * » après leur identifiant sont exemptés, car toutes les actions sont autorisées lorsque la notation « * » est donnée. Ce SCP contient essentiellement une liste d'actions explicitement autorisées, et toutes les autres actions sont refusées. Vous ne pouvez pas refuser l'accès à votre région d'origine.

Vidéo : Activer les garde-fous relatifs à la résidence des données

Cette vidéo (5:58) explique comment activer les contrôles de résidence des données à l'aide des garde-corps de la AWS Control Tower. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

Rubriques

Refuser l'accès àAWSsur la base de la demandeAWSRégion

Ce garde-corps est communément appelé garde-corps régional.

Cette barrière interdit l'accès à des opérations non répertoriées dans les services mondiaux et régionaux en dehors des régions spécifiées. Cela inclut toutes les régions où la AWS Control Tower n'est pas disponible, ainsi que toutes les régions non sélectionnées pour la gouvernance dansParamètres de zone d'atterrissagepage. Les actions sont autorisées comme d'habitude dans les régions avecGouvernéétat.

Note

Certains globauxAWSdes services, tels queAWS Identity and Access Management(IAM) etAWS Organizations, sont exemptés des garde-fous relatifs à la résidence des données. Ces services sont spécifiés dans l'exemple de code SCP qui suit.

Il s'agit d'un garde-corps électif avec des directives préventives. Il s'agit du principal garde-corps associé auRefuser une régionaction. Pour plus d'informations, consultez Configurer le garde-corps de refus de la région.

Le format de ce garde-corps est basé sur le SCP suivant.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRREGIONDENY", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "budgets:*", "ce:*", "chime:*", "cloudfront:*", "config:*", "cur:*", "directconnect:*", "ec2:DescribeRegions", "ec2:DescribeTransitGateways", "ec2:DescribeVpnGateways", "fms:*", "globalaccelerator:*", "health:*", "iam:*", "importexport:*", "kms:*", "mobileanalytics:*", "networkmanager:*", "organizations:*", "chatbot:*", "pricing:*", "route53-recovery-control-config:*", "route53-recovery-readiness:*", "route53-recovery-cluster:*", "route53:*", "route53domains:*", "s3:GetBucketPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", "s3:GetStorageLensDashboard", "s3:ListStorageLensConfigurations", "s3:GetAccountPublicAccessBlock", "s3:PutAccountPublic", "s3:PutAccountPublicAccessBlock", "shield:*", "sts:*", "support:*", "trustedadvisor:*", "waf-regional:*", "waf:*", "wafv2:*", "access-analyzer:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [] }, "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Sur la base de cet exemple de format SCP, AWS Control Tower ajoute vos régions gouvernées dansaws:RequestedRegiondéclaration. Vous ne pouvez pas exclure votre région d'origine. Les actions non répertoriées dans le SCP ne sont pas autorisées.

Interdire l'accès à Internet pour une instance Amazon VPC gérée par un client

Cette barrière interdit l'accès à Internet à une instance Amazon Virtual Private Cloud (VPC) gérée par un client, plutôt que par unAWSService.

Important

Si vous approvisionnez des comptes Account Factory avec les paramètres d'accès Internet du VPC activés, ce paramètre Account Factory remplace ce garde-corps. Pour éviter d'activer l'accès à Internet pour les comptes nouvellement approvisionnés, vous devez modifier le paramètre dans Account Factory. Pour plus d'informations, consultez Procédure : Configuration d'AWS Control Tower sans VPC.

  • Ce garde-fou ne s'applique pas aux VPC gérés parAWSServices.

  • Les VPC existants qui ont accès à Internet conservent leur accès à Internet. Elle s'applique uniquement aux nouvelles instances. Une fois ce garde-corps installé, l'accès ne peut pas être modifié.

Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la stratégie de contrôle de service (SCP) suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWVPCINTERNETACCESS", "Effect": "Deny", "Action": [ "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:CreateEgressOnlyInternetGateway", "ec2:AttachEgressOnlyInternetGateway", "ec2:CreateDefaultVpc", "ec2:CreateDefaultSubnet", "ec2:CreateCarrierGateway" ], "Resource": [ "*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Interdire les connexions au réseau privé virtuel (VPN) Amazon

Ce garde-corps empêche les connexions de réseau privé virtuel (Site-to-Site VPN et Client VPN) à un Amazon Virtual Private Cloud (VPC).

Note

Les VPC existants qui ont accès à Internet conservent leur accès à Internet.

Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la stratégie de contrôle de service (SCP) suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWVPNCONNECTIONS", "Effect": "Deny", "Action": [ "ec2:CreateVPNGateway", "ec2:AttachVPNGateway", "ec2:CreateCustomerGateway", "ec2:CreateVpnConnection", "ec2:ModifyVpnConnection", "ec2:CreateClientVpnEndpoint", "ec2:ModifyClientVpnEndpoint", "ec2:AssociateClientVpnTargetNetwork", "ec2:AuthorizeClientVpnIngress" ], "Resource": [ "*" ] } ] }

Interdire la mise en réseau entre régions pour Amazon EC2, Amazon CloudFront, etAWSGlobal Accelerator

Ce garde-corps empêche de configurer des connexions réseau entre régions depuis Amazon EC2, Amazon CloudFront, etAWSServices d'accélération mondiaux. Il empêche l'appairage des VPC et des passerelles de transit.

Note

Ce garde-corps empêche l'appairage du VPC Amazon EC2 et l'appairage de la passerelle de transit Amazon EC2 au sein d'une même région, ainsi que d'une région à l'autre. Pour cette raison, ce garde-corps peut affecter certaines charges de travail en plus de votre posture de résidence des données.

Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la stratégie de contrôle de service (SCP) suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWCROSSREGIONNETWORKING", "Effect": "Deny", "Action": [ "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateTransitGatewayPeeringAttachment", "ec2:AcceptTransitGatewayPeeringAttachment", "cloudfront:CreateDistribution", "cloudfront:UpdateDistribution", "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": [ "*" ] } ] }

Détectez si les adresses IP publiques pour la mise à l'échelle automatique d'Amazon EC2 sont activées via les configurations de lancement

Ce garde-corps détecte si les adresses IP publiques des groupes Amazon EC2 Auto Scaling sont activées via les configurations de lancement.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)état si la configuration de lancement d'un groupe d'autoscaling définit la valeur du champAssociatePublicIpAddressdéfinir une UOVrai.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether public IP addresses for Amazon EC2 Auto Scaling are enabled through launch configurations Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: AutoscalingLaunchConfigPublicIpDisabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon EC2 Auto Scaling groups have public IP addresses enabled through launch configurations. This rule is NON_COMPLIANT if the launch configuration for an Auto Scaling group has the value of the field AssociatePublicIpAddress set as True. Scope: ComplianceResourceTypes: - AWS::AutoScaling::LaunchConfiguration Source: Owner: AWS SourceIdentifier: AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

Détectez si des instances de réplication pourAWSLes Database Migration Service de données

Ce garde-corps détecte siAWSLes instances de réplication du Database Migration Service sont publiques.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)statut de la valeur dePubliclyAccessiblele champ est défini commeVrai.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether replication instances for AWS Database Migration Service are public Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: DmsReplicationNotPublic: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether AWS Database Migration Service replication instances are public. The rule is NON_COMPLIANT if the value of the PubliclyAccessible field is set as True. Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Déterminez si les instantanés Amazon EBS peuvent être restaurés par tousAWScomptes

Ce garde-corps détecte si tousAWSles comptes ont accès à la restauration des instantanés Amazon EBS.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)statut si des instantanés ont leRestorableByUserIdschamp défini à la valeurTous. Dans ce cas, les instantanés Amazon EBS sont publics.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether Amazon EBS snapshots are restorable by all AWS accounts Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EbsSnapshotPublicRestorableCheck: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether all AWS accounts have access to restore Amazon EBS snapshots. The rule is NON_COMPLIANT if any snapshots have the RestorableByUserIds field set to the value All. In that case, the Amazon EBS snapshots are public. Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détectez si une instance Amazon EC2 possède une adresse IPv4 publique associée

Ce garde-corps détecte si une instance Amazon Elastic Compute Cloud (Amazon EC2) a une adresse IPv4 publique associée. Ce garde-corps s'applique uniquement aux adresses IPv4.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)statut si le champ IP public est présent dans l'élément de configuration de l'instance Amazon EC2.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether any Amazon EC2 instance has an associated public IPv4 address Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: Ec2InstanceNoPublicIp: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an Amazon Elastic Compute Cloud (Amazon EC2) instance has an associated public IPv4 address. The rule is NON_COMPLIANT if the public IP field is present in the Amazon EC2 instance configuration item. Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP

Détecter si les paramètres Amazon S3 pour bloquer l'accès public sont définis comme vrais pour le compte

Ce garde-corps détecte régulièrement si les paramètres Amazon S3 requis pour bloquer l'accès public sont configurés comme vrais pour le compte, plutôt que pour un compartiment ou un point d'accès.

Dans la console  :

  • La règle indiqueNon conforme)état si au moins l'un des paramètres est faux.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to check whether Amazon S3 settings to block public access are set as true for the account. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' PublicAccessBlockSetting: Type: 'String' Default: 'True' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForS3PublicAccessBlock: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks the Amazon S3 settings to block public access are set as true for the account. The rule is non-compliant if at-least one of the settings is false. Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Scope: ComplianceResourceTypes: - AWS::S3::AccountPublicAccessBlock InputParameters: IgnorePublicAcls: !Ref PublicAccessBlockSetting BlockPublicPolicy: !Ref PublicAccessBlockSetting BlockPublicAcls: !Ref PublicAccessBlockSetting RestrictPublicBuckets: !Ref PublicAccessBlockSetting MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détecte si l'accès public à un point de terminaison Amazon EKS est bloqué

Cette barrière de sécurité détecte si l'accès public à un point de terminaison Amazon Elastic Kubernetes Service (Amazon EKS) est bloqué.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)état si le terminal est accessible au public.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon EKS endpoint is blocked from public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EKSEndpointNoPublicAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an Amazon Elastic Kubernetes Service (Amazon EKS) endpoint is publicly accessible. The rule is NON_COMPLIANT if the endpoint is publicly accessible. Source: Owner: AWS SourceIdentifier: EKS_ENDPOINT_NO_PUBLIC_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détecter si un Amazon OpenSearch Le domaine de service se trouve dans Amazon VPC

Ce garde-corps détecte si un Amazon OpenSearch Le domaine de service se trouve dans Amazon VPC.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)état du OpenSearchLe terminal du domaine de service est public.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon OpenSearch Service domain is in Amazon VPC Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: ElasticsearchInVpcOnly: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon OpenSearch Service domains are in Amazon Virtual Private Cloud (Amazon VPC). The rule is NON_COMPLIANT if the OpenSearch Service domain endpoint is public. Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détectez si des nœuds principaux du cluster Amazon EMR ont des adresses IP publiques

Ce garde-corps détecte si des nœuds principaux du cluster Amazon EMR possèdent des adresses IP publiques.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, ce garde-corps n'est activé sur aucune unité d'organisation

Dans la console  :

  • La règle indiqueNon conforme)état si un nœud maître possède une adresse IP publique.

  • Ce garde-corps vérifie les clusters qui sont en cours d'exécution ou en attente.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether any Amazon EMR cluster master nodes have public IP addresses Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EmrMasterNoPublicIp: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether any Amazon Elastic MapReduce (EMR) cluster master nodes have public IP addresses. The rule is NON_COMPLIANT if a master node has a public IP. This guardrail checks clusters that are in RUNNING or WAITING state. Source: Owner: AWS SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détecter si leAWSLa politique de fonction Lambda attachée à la ressource Lambda bloque l'accès public

Ce garde-corps détecte si leAWSLa politique de fonction Lambda associée à la ressource Lambda bloque l'accès public.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)état si la politique de la fonction Lambda autorise l'accès public.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether the AWS Lambda function policy attached to the Lambda resource blocks public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: LambdaFunctionPublicAccessProhibited: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether the AWS Lambda function policy attached to the Lambda resource prohibits public access. The rule is NON_COMPLIANT if the Lambda function policy allows public access. Scope: ComplianceResourceTypes: - AWS::Lambda::Function Source: Owner: AWS SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Détecter si des routes publiques existent dans la table de routage d'une Internet Gateway (IGW)

Ce garde-corps détecte si des routes publiques existent dans la table de routage associée à une Internet Gateway (IGW).

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)statut si un itinéraire possède un bloc CIDR de destination de0.0.0.0/0ou::/0ou si un bloc d'adresse CIDR de destination ne correspond pas au paramètre de règle.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether public routes exist in the route table for an Internet Gateway (IGW) Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: NoUnrestrictedRouteToIgw: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether public routes exist in the route table associated with an Internet Gateway (IGW). The rule is NON_COMPLIANT if a route has a destination CIDR block of '0.0.0.0/0' or '::/0' or if a destination CIDR block does not match the rule parameter. Scope: ComplianceResourceTypes: - AWS::EC2::RouteTable Source: Owner: AWS SourceIdentifier: NO_UNRESTRICTED_ROUTE_TO_IGW

Détecter si l'accès public aux clusters Amazon Redshift est bloqué

Ce garde-corps détecte si l'accès public aux clusters Amazon Redshift est bloqué.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)état dupubliclyAccessiblele champ est défini sur.Vraidans l'élément de configuration du cluster.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether Amazon Redshift clusters are blocked from public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: RedshiftClusterPublicAccessCheck: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon Redshift clusters are blocked from public access. The rule is NON_COMPLIANT if the publiclyAccessible field is true in the cluster configuration item. Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Détecter si un Amazon SageMaker l'instance de bloc-notes permet un accès direct

Ce garde-corps détecte si un Amazon SageMaker Une instance de notebook permet un accès direct à Internet.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)statut d'Amazon SageMakerles ordinateurs portables permettent un accès direct à Internet.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon SageMaker notebook instance allows direct internet access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: SagemakerNotebookNoDirectInternetAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether direct internet access is allowed for an Amazon SageMaker notebook instance. The rule is NON_COMPLIANT if Amazon SageMaker notebook instances allow direct internet access. Source: Owner: AWS SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détecter si une adresse IP publique est attribuée à des sous-réseaux Amazon VPC

Cette barrière de sécurité détecte si une adresse IP publique est attribuée aux sous-réseaux Amazon Virtual Private Cloud (Amazon VPC).

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

Dans la console  :

  • La règle indiqueNon conforme)statut si Amazon VPC a des sous-réseaux qui se voient attribuer une adresse IP publique.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Detect whether any Amazon VPC subnets are assigned a public IP address Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: SubnetAutoAssignPublicIpDisabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon Virtual Private Cloud (Amazon VPC) subnets are assigned a public IP address. The rule is NON_COMPLIANT if Amazon VPC has subnets that are assigned a public IP address. Scope: ComplianceResourceTypes: - AWS::EC2::Subnet Source: Owner: AWS SourceIdentifier: SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

Détectez si les documents AWS Systems Manager détenus par le compte sont publics

Ce garde-corps détecte si les documents AWS Systems Manager détenus par le compte sont publics.

Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether AWS Systems Manager documents owned by the account are public Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: SsmDocumentNotPublic: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether AWS Systems Manager (SSM) documents owned by the account are public. This rule is NON_COMPLIANT if any documents with owner 'Self' are public. Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency