Protections de protection électives - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protections de protection électives

Les garde-corps électifs vous permettent de verrouiller ou de suivre les tentatives d'exécution d'actions fréquemment restreintes dans unAWSenvironnement d'entreprise. Ces barrières de sécurité ne sont pas activées par défaut et peuvent être désactivées. Vous trouverez ci-dessous une référence pour les garde-corps électifs disponibles dans AWS Control Tower. Les garde-fous facultatifs spécifiques à la résidence des données sont rassemblés dans une section séparée,Des garde-corps qui améliorent la protection de la résidence des données.

Interdire les modifications apportées à la configuration de chiffrement pour les compartiments Amazon S3 [Auparavant : Activer le chiffrement au repos pour [Log Archive]

Cette protection interdit les modifications apportées au chiffrement pour tous les compartiments Amazon S3. Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la stratégie de contrôle de service (SCP) suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETENCRYPTIONENABLED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à la configuration de journalisation pour les compartiments Amazon S3 [Auparavant : Activer la journalisation des accès pour l'archivage des journaux

Cette barrière interdit les modifications apportées à la configuration de journalisation pour tous les compartiments Amazon S3. Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETLOGGINGENABLED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à la politique des compartiments pour les compartiments Amazon S3 [Auparavant : Interdire les modifications de politique dans les archives du journal]

Ce garde-corps interdit toute modification de la politique relative aux compartiments pour tous les compartiments Amazon S3. Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à la configuration du cycle de vie pour les compartiments Amazon S3 [Auparavant : Définir une politique de conservation pour [Log Archive]

Ce garde-corps interdit les modifications de configuration du cycle de vie pour tous les compartiments Amazon S3. Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETRETENTIONPOLICY", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à la configuration de réplication pour les compartiments Amazon S3

Empêche toute modification de la façon dont vos compartiments Amazon S3 ont été configurés pour gérer la réplication au sein des régions ou entre les régions. Par exemple, si vous configurez vos compartiments avec une réplication dans une seule région, pour limiter l'emplacement de vos données Amazon S3 à une seule région AWS (désactivant ainsi toute copie automatique et asynchrone d'objets entre des compartiments vers d'autres régions AWS), alors ce garde-corps empêche ce paramètre de réplication d'être modifié. Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION", "Effect": "Deny", "Action": [ "s3:PutReplicationConfiguration" ], "Resource": [ "*" ] } ] }

Interdire les actions de suppression sur les compartiments Amazon S3 sans MFA

Protège vos compartiments Amazon S3 en exigeant la MFA pour les actions de suppression. La MFA nécessite un code d'authentification supplémentaire une fois que le nom d'utilisateur et le mot de passe sont correctement saisis. Il s'agit d'une barrière de sécurité préventive avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3DELETEWITHOUTMFA", "Effect": "Deny", "Action": [ "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": [ "false" ] } } } ] }

Détecter si l'authentification MFA est activée pourAWSUtilisateurs IAM

Ce garde-corps détecte si l'authentification MFA est activée pourAWSJe suis une User. Vous pouvez protéger votre compte en exigeant le MFA pour tousAWSUtilisateurs IAM du compte. La MFA nécessite un code d'authentification supplémentaire une fois que le nom d'utilisateur et le mot de passe sont correctement saisis. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether the IAM users have MFA enabled Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détecter si l'authentification MFA est activée pourAWSUtilisateurs IAM duAWSConsole

Protège votre compte en exigeant l'MFA multifacteur pour tousAWSUtilisateurs IAM dans la console. La MFA réduit les risques de vulnérabilité liés à une authentification faible en exigeant un code d'authentification supplémentaire une fois que le nom d'utilisateur et le mot de passe sont corrects. Cette barrière de sécurité détecte si l'authentification MFA est activée. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserConsoleMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détecter si la gestion des versions pour les compartiments Amazon S3 est activée

Détecte si le contrôle de version de vos compartiments Amazon S3 est activé. La gestion des versions vous permet de récupérer des objets en cas de suppression ou de remplacement accidentel. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils optionnels. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3VersioningEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether versioning is enabled for your S3 buckets. Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Scope: ComplianceResourceTypes: - AWS::S3::Bucket