Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles obligatoires
Les contrôles obligatoires appartiennent à AWS Control Tower et s'appliquent à toutes les unités d'organisation de votre zone de landing zone. Ces commandes sont appliquées par défaut lorsque vous configurez votre zone d'atterrissage, et elles ne peuvent pas être désactivées. Vous trouverez ci-dessous une référence pour chacun des contrôles obligatoires disponibles dans AWS Control Tower.
Rubriques
- Interdire les modifications apportées à la configuration de chiffrement pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive
- Interdire les modifications apportées à la configuration de journalisation pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive
- Interdire les modifications apportées à la politique des compartiments pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive
- Interdire les modifications apportées à la configuration du cycle de vie pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive
- Interdire les modifications apportées aux groupes de CloudWatch journaux Amazon Logs définis par AWS Control Tower
- Interdire la suppression des autorisations d'agrégation AWS Config créées par AWS Control Tower
- Interdiction de la suppression de l'archive des journaux
- Détection du paramètre d'accès public en lecture pour l'archivage des journaux
- Détection du paramètre d'accès public en écriture pour l'archivage des journaux
- Interdire les modifications de configuration apportées à CloudTrail
- Intégrer CloudTrail des événements à Amazon CloudWatch Logs
- Activer CloudTrail dans toutes les régions disponibles
- Activer la validation de l'intégrité pour les fichiers journaux CloudTrail
- Interdire les modifications apportées à CloudWatch Amazon par AWS Control Tower
- Interdire les modifications apportées aux balises créées par AWS Control Tower for Resources AWS Config
- Interdire les changements de la configuration de AWS Config
- Activer AWS Config dans toutes les régions disponibles
- Interdire les modifications apportées à la AWS Config Rules configuration par AWS Control Tower
- Interdire les modifications apportées aux rôles AWS IAM définis par AWS Control Tower et AWS CloudFormation
- Interdire les modifications apportées aux fonctions AWS Lambda configurées par AWS Control Tower
- Interdire les modifications apportées à Amazon SNS par AWS Control Tower
- Interdire les modifications apportées aux abonnements Amazon SNS configurés par AWS Control Tower
- Détectez si les comptes partagés relevant de l'unité organisationnelle de sécurité sont activés AWS CloudTrail ou si CloudTrail Lake est activé
Note
Les quatre commandes obligatoires "Sid": "GRCLOUDTRAILENABLED" sont de conception identique. L'exemple de code est correct.
Interdire les modifications apportées à la configuration de chiffrement pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive
Ce contrôle empêche toute modification du chiffrement des compartiments Amazon S3 créés par AWS Control Tower dans le compte d'archivage des journaux. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur l'unité d'organisation de sécurité. Il ne peut pas être activé sur des unités d'organisation supplémentaires.
L'artefact de ce contrôle est la politique de contrôle des services (SCP) suivante.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées à la configuration de journalisation pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive
Ce contrôle empêche toute modification de la configuration de journalisation pour les compartiments Amazon S3 créés par AWS Control Tower dans le compte d'archivage des journaux. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur l'unité d'organisation de sécurité. Il ne peut pas être activé sur des unités d'organisation supplémentaires.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées à la politique des compartiments pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive
Ce contrôle empêche toute modification de la politique de compartiment pour les compartiments Amazon S3 créés par AWS Control Tower dans le compte d'archivage des journaux. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur l'unité d'organisation de sécurité. Il ne peut pas être activé sur des unités d'organisation supplémentaires.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées à la configuration du cycle de vie pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive
Ce contrôle empêche les modifications de configuration du cycle de vie pour les compartiments Amazon S3 créés par AWS Control Tower dans le compte d'archivage des journaux. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur l'unité d'organisation de sécurité. Il ne peut pas être activé sur des unités d'organisation supplémentaires.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées aux groupes de CloudWatch journaux Amazon Logs définis par AWS Control Tower
Ce contrôle empêche toute modification de la politique de conservation des groupes de CloudWatch journaux Amazon Logs qu'AWS Control Tower a créés dans le compte d'archivage des journaux lorsque vous configurez votre zone de landing zone. Cela empêche également de modifier la politique de conservation des journaux dans les comptes clients. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }
Interdire la suppression des autorisations d'agrégation AWS Config créées par AWS Control Tower
Ce contrôle empêche la suppression des autorisations d'AWS Configagrégation créées par AWS Control Tower dans le compte d'audit lorsque vous configurez votre zone de landing zone. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }
Interdiction de la suppression de l'archive des journaux
Ce contrôle empêche la suppression des compartiments Amazon S3 créés par AWS Control Tower dans le compte d'archivage des journaux. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur l'unité d'organisation de sécurité.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Détection du paramètre d'accès public en lecture pour l'archivage des journaux
Ce contrôle détecte si l'accès public en lecture est activé aux compartiments Amazon S3 dans le compte partagé d'archives de journaux. Ce contrôle ne modifie pas le statut du compte. Il s'agit d'un contrôle de détection avec des directives obligatoires. Par défaut, ce contrôle est activé sur l'unité d'organisation de sécurité.
L'artefact de ce contrôle est la AWS Config règle suivante.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket
Détection du paramètre d'accès public en écriture pour l'archivage des journaux
Ce contrôle détecte si l'accès public en écriture est activé pour les compartiments Amazon S3 dans le compte partagé d'archives de journaux. Ce contrôle ne modifie pas le statut du compte. Il s'agit d'un contrôle de détection avec des directives obligatoires. Par défaut, ce contrôle est activé sur l'unité d'organisation de sécurité.
L'artefact de ce contrôle est la AWS Config règle suivante.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket
Interdire les modifications de configuration apportées à CloudTrail
Ce contrôle empêche toute modification de configuration CloudTrail dans votre zone d'atterrissage. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Intégrer CloudTrail des événements à Amazon CloudWatch Logs
Ce contrôle effectue une analyse en temps réel des données d'activité en envoyant les CloudTrail événements aux fichiers CloudWatch journaux. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé sur toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Activer CloudTrail dans toutes les régions disponibles
Ce contrôle permet d'accéder CloudTrail à tout ce qui est disponibleRégions AWS. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Activer la validation de l'intégrité pour les fichiers journaux CloudTrail
Ce contrôle permet de valider l'intégrité du fichier CloudTrail journal dans tous les comptes et unités d'organisation. Il protège l'intégrité des journaux d'activité des comptes grâce à la validation des fichiers CloudTrail journaux, qui crée un fichier condensé signé numériquement qui contient un hachage de chaque journal CloudTrail écrit sur Amazon S3. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées à CloudWatch Amazon par AWS Control Tower
Ce contrôle interdit les modifications apportées à Amazon CloudWatch, tel qu'il a été configuré par AWS Control Tower lorsque vous avez configuré votre zone de landing zone. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées aux balises créées par AWS Control Tower for Resources AWS Config
Ce contrôle empêche toute modification des balises créées par AWS Control Tower lorsque vous configurez votre zone de landing zone, pour les AWS Config ressources qui collectent des données de configuration et de conformité. Il refuse toute TagResource UntagResource opération pour les autorisations d'agrégation étiquetées par AWS Control Tower. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }
Interdire les changements de la configuration de AWS Config
Ce contrôle empêche les modifications de configuration apportées àAWS Config. Elle garantit que AWS Config enregistre les configurations de ressources de façon cohérente en interdisant les modifications de paramètres AWS Config. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Activer AWS Config dans toutes les régions disponibles
Ce contrôle permet d'accéder AWS Config à tout ce qui est disponibleRégions AWS. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées à la AWS Config Rules configuration par AWS Control Tower
Ce contrôle interdit les modifications apportées par rapport à AWS Config Rules celles mises en œuvre par AWS Control Tower lors de la configuration de la zone de landing zone. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }
Interdire les modifications apportées aux rôles AWS IAM définis par AWS Control Tower et AWS CloudFormation
Ce contrôle interdit de modifier les rôles AWS IAM créés par AWS Control Tower lors de la configuration de la zone de landing zone. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
Mise à jour du contrôle
Une version mise à jour a été publiée pour le contrôle obligatoireAWS-GR_IAM_ROLE_CHANGE_PROHIBITED.
Cette modification du contrôle est nécessaire car le AWSControlTowerExecution rôle doit être activé sur les comptes des unités d'organisation inscrites dans AWS Control Tower. La version précédente du contrôle empêchait la création de ce rôle.
AWS Control Tower a mis à jour le contrôle existant pour ajouter une exception AWS CloudFormation StackSets afin de créer le AWSControlTowerExecution rôle. Comme deuxième mesure, ce nouveau contrôle protège le StackSets rôle afin d'empêcher les directeurs du compte enfant d'y accéder.
La nouvelle version de contrôle exécute les actions suivantes, en plus de toutes les actions prévues dans la version précédente :
-
Permet au
stacksets-exec-*rôle (détenu parAWS CloudFormation) d'effectuer des actions sur les rôles IAM créés par AWS Control Tower. -
Empêche la modification de tout rôle IAM dans les comptes enfants, lorsque le nom du rôle IAM correspond au modèle.
stacksets-exec-*
La mise à jour de la version de contrôle affecte vos unités d'organisation et vos comptes comme suit :
-
Si vous étendez la gouvernance à une unité d'organisation, cette unité d'organisation entrante reçoit la version mise à jour du contrôle dans le cadre du processus d'enregistrement. Il n'est pas nécessaire de mettre à jour votre zone de landing zone pour obtenir la dernière version de cette UO. AWS Control Tower applique automatiquement la dernière version aux unités d'organisation qui s'enregistrent.
-
Si vous mettez à jour ou réparez votre zone d'atterrissage à tout moment après cette version, votre contrôle sera mis à jour vers cette version pour un futur provisionnement.
-
Les UO créées ou enregistrées auprès d'AWS Control Tower avant cette date de publication, et qui font partie d'une zone d'atterrissage qui n'a pas été réparée ou mise à jour après la date de sortie, continueront à fonctionner avec l'ancienne version du contrôle, qui bloque la création du
AWSControlTowerExecutionrôle. -
L'une des conséquences de cette mise à jour de contrôle est que vos unités d'organisation peuvent fonctionner avec différentes versions de la commande. Mettez à jour votre zone d'atterrissage pour appliquer uniformément la version mise à jour du contrôle à vos unités d'organisation.
L'artefact du contrôle mis à jour est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }
L'ancien artefact utilisé pour ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées aux fonctions AWS Lambda configurées par AWS Control Tower
Ce contrôle interdit de modifier les AWS Lambda fonctions configurées par AWS Control Tower. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées à Amazon SNS par AWS Control Tower
Ce contrôle interdit les modifications apportées à Amazon SNS par AWS Control Tower. Il protège l'intégrité des paramètres de notification Amazon SNS pour votre zone de landing zone. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Interdire les modifications apportées aux abonnements Amazon SNS configurés par AWS Control Tower
Ce contrôle interdit les modifications apportées aux abonnements Amazon SNS configurés par AWS Control Tower. Il protège l'intégrité des paramètres des abonnements Amazon SNS pour votre zone de landing zone, afin de déclencher des notifications en cas de modifications de AWS Config Rules conformité. Il s'agit d'un contrôle préventif avec des directives obligatoires. Par défaut, ce contrôle est activé dans toutes les unités d'organisation.
L'artefact de ce contrôle est le SCP suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Détectez si les comptes partagés relevant de l'unité organisationnelle de sécurité sont activés AWS CloudTrail ou si CloudTrail Lake est activé
Ce contrôle détecte si les comptes partagés relevant de l'unité organisationnelle Sécurité sont activés AWS CloudTrail ou si CloudTrail Lake est activé. La règle est NON_COMPLIANT si l'un CloudTrail ou l'autre n'est pas activé dans un compte partagé ou si CloudTrail Lake n'est pas activé. Il s'agit d'un contrôle de détection avec des directives obligatoires. Par défaut, ce contrôle est activé sur l'unité d'organisation de sécurité.
L'artefact de ce contrôle est la AWS Config règle suivante.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to detect whether an account has AWS CloudTrail or CloudTrail Lake enabled. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForCloudtrailEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an account has AWS CloudTrail or CloudTrail Lake enabled. The rule is NON_COMPLIANT if either CloudTrail or CloudTrail Lake is not enabled in an account. Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED
