protection de protection de déploiement - AWS Control Tower
Interdire les modifications apportées à la configuration de chiffrement pour les compartiments Amazon S3 créés par AWS Control Tower dans Log ArchiveInterdire les modifications apportées à la configuration de journalisation pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive Interdire les modifications apportées à la politique de compartiment pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive Interdire les modifications apportées à la configuration du cycle de vie pour les compartiments Amazon S3 créés par AWS Control Tower dans Log ArchiveInterdire les modifications apportées à Amazon CloudWatch Logs et groupes de journaux configurés par AWS Control TowerInterdire la suppression des autorisations d'agrégation de configurations AWS créées par AWS Control TowerInterdiction de la suppression de l'archive des journauxDétecter le paramètre d'accès public à la lecture pour les archivesDétecter le paramètre d'accès public à l'écriture pour les archivesInterdire les modifications de configuration de CloudTrailIntégrer CloudTrail Événements avec Amazon CloudWatch JournauxActiver CloudTrail dans toutes les régions disponiblesActiver la validation de l'intégrité pour les fichiers journaux CloudTrail Interdire les modifications apportées à Amazon CloudWatchConfiguration par AWS Control TowerInterdire les modifications apportées aux balises créées par AWS Control Tower pourAWS ConfigRessourcesInterdire les changements de la configuration de AWS ConfigActiver AWS Config dans toutes les régions disponiblesInterdire les modifications apportées àAWS Config RulesConfiguration par AWS Control TowerInterdire les modifications apportées aux rôles AWS IAM configurés par AWS Control Tower et AWS CloudFormationInterdire les modifications apportées aux fonctions AWS Lambda configurées par AWS Control TowerInterdire les modifications apportées à Amazon SNS configurées par AWS Control TowerInterdire les modifications apportées aux abonnements Amazon SNS configurés par AWS Control TowerDétectez si les comptes partagés relevant de l'unité organisationnelle de sécurité disposent d'AWS CloudTrail ou CloudTrail Lake activé)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

protection de protection de déploiement

Les garde-corps obligatoires sont activés par défaut lorsque vous configurez votre landing zone et ne peuvent pas être désactivés. Vous trouverez ci-dessous une référence pour chacun des garde-corps obligatoires disponibles dans AWS Control Tower.

Rubriques

Note

Les quatre garde-corps obligatoires avec"Sid": "GRCLOUDTRAILENABLED"sont identiques de par leur conception. L'exemple de code est correct.

Interdire les modifications apportées à la configuration de chiffrement pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive

Ce garde-corps empêche toute modification du chiffrement des compartiments Amazon S3 qu'AWS Control Tower crée dans le compte d'archivage des journaux. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, ce garde-corps est activé sur l'unité d'organisation de sécurité. Elle ne peut pas être activée sur des unités d'organisation supplémentaires.

L'artefact de cette barrière de sécurité est la stratégie de contrôle de service (SCP) suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à la configuration de journalisation pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive

Ce garde-corps empêche toute modification de la configuration de journalisation pour les compartiments Amazon S3 qu'AWS Control Tower crée dans le compte d'archivage des journaux. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, ce garde-corps est activé sur l'unité d'organisation de sécurité. Elle ne peut pas être activée sur des unités d'organisation supplémentaires.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à la politique de compartiment pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive

Ce garde-corps empêche toute modification de la politique de compartiment pour les compartiments Amazon S3 qu'AWS Control Tower crée dans le compte d'archivage des journaux. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, ce garde-corps est activé sur l'unité d'organisation de sécurité. Elle ne peut pas être activée sur des unités d'organisation supplémentaires.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à la configuration du cycle de vie pour les compartiments Amazon S3 créés par AWS Control Tower dans Log Archive

Ce garde-corps empêche les modifications de configuration du cycle de vie des compartiments Amazon S3 qu'AWS Control Tower crée dans le compte d'archivage des journaux. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, ce garde-corps est activé sur l'unité d'organisation de sécurité. Elle ne peut pas être activée sur des unités d'organisation supplémentaires.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à Amazon CloudWatch Logs et groupes de journaux configurés par AWS Control Tower

Ce garde-corps empêche toute modification de la politique de conservation d'Amazon CloudWatchEnregistre les groupes de journaux qu'AWS Control Tower a créés dans le compte d'archivage des journaux lorsque vous configurez votre landing zone. Cela empêche également de modifier la politique de conservation des journaux dans les comptes clients. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Interdire la suppression des autorisations d'agrégation de configurations AWS créées par AWS Control Tower

Ce garde-corps empêche la suppression des autorisations d'agrégation AWS Config qu'AWS Control Tower a créées dans le compte d'audit lorsque vous configurez votre landing zone. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

Interdiction de la suppression de l'archive des journaux

Ce garde-corps empêche la suppression des compartiments Amazon S3 créés par AWS Control Tower dans le compte d'archivage des journaux. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, ce garde-corps est activé surSécuritéUNE UO.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Détecter le paramètre d'accès public à la lecture pour les archives

Ce garde-corps détecte si l'accès public en lecture est activé aux compartiments Amazon Amazon S3 dans le compte partagé d'archivage des journaux. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils obligatoires. Par défaut, ce garde-corps est activé surSécuritéUNE UO.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Détecter le paramètre d'accès public à l'écriture pour les archives

Ce garde-corps détecte si l'accès public en écriture est activé aux compartiments Amazon Amazon S3 dans le compte partagé d'archivage des journaux. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils obligatoires. Par défaut, ce garde-corps est activé surSécuritéUNE UO.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Interdire les modifications de configuration de CloudTrail

Ce garde-corps empêche les modifications de configuration de CloudTrail dans votre landing zone. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Intégrer CloudTrail Événements avec Amazon CloudWatch Journaux

Ce garde-corps effectue une analyse en temps réel des données d'activité en envoyant CloudTrailévénements pour CloudWatch Journalise les fichiers journaux. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Activer CloudTrail dans toutes les régions disponibles

Ce garde-corps permet CloudTrail dans toutes les régions AWS disponibles. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Activer la validation de l'intégrité pour les fichiers journaux CloudTrail

Ce garde-corps permet de valider l'intégrité du CloudTrail fichier journal dans tous les comptes et unités d'organisation. Il protège l'intégrité des journaux d'activité du compte en utilisant CloudTrailvalidation du fichier journal, qui crée un fichier condensé signé numériquement qui contient un hachage de chaque journal qui CloudTrail écrit dans Amazon S3. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à Amazon CloudWatchConfiguration par AWS Control Tower

Ce garde-corps interdit les modifications apportées à Amazon CloudWatch tel qu'il a été configuré par AWS Control Tower lorsque vous avez configuré votre landing zone. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées aux balises créées par AWS Control Tower pourAWS ConfigRessources

Ce garde-corps empêche toute modification des balises créées par AWS Control Tower lorsque vous configurez votre landing zone, pourAWS Configdes ressources qui collectent des données de configuration et de conformité. Il nie toutTagResourceetUntagResourceopération pour les autorisations d'agrégation balisées par AWS Control Tower. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }

Interdire les changements de la configuration de AWS Config

Ce garde-corps empêche les modifications de configuration deAWS Config. Elle garantit que AWS Config enregistre les configurations de ressources de façon cohérente en interdisant les modifications de paramètres AWS Config. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Activer AWS Config dans toutes les régions disponibles

Cette barrière de sécurité active AWS Config dans toutes les régions AWS disponibles. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées àAWS Config RulesConfiguration par AWS Control Tower

Ce garde-corps interdit les modifications apportées àAWS Config Rulesqui ont été mis en œuvre par AWS Control Tower lors de la configuration de la landing zone. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

Interdire les modifications apportées aux rôles AWS IAM configurés par AWS Control Tower et AWS CloudFormation

Ce garde-corps interdit toute modification des rôles AWS IAM créés par AWS Control Tower lors de la configuration de la landing zone. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

Mise à jour du protection

Une version mise à jour a été publiée pour le garde-corps obligatoireAWS-GR_IAM_ROLE_CHANGE_PROHIBITED.

Cette modification du garde-corps est nécessaire car les comptes des unités d'organisation qui sont inscrites à AWS Control Tower doivent disposer duAWSControlTowerExecutionrôle activé. La version précédente du garde-corps empêche la création de ce rôle.

AWS Control Tower a mis à jour le garde-corps existant pour ajouter une exception afin queAWS CloudFormation StackSetspeut créer leAWSControlTowerExecutionRôle. Comme deuxième mesure, ce nouveau garde-corps protège StackSetsrôle visant à empêcher les principaux utilisateurs du compte enfant d'y accéder.

La nouvelle version du garde-corps exécute les actions suivantes, en plus de toutes les actions prévues dans la version précédente :

  • Permet à lastacksets-exec-*rôle (détenu parAWS CloudFormation) pour effectuer des actions sur les rôles IAM créés par AWS Control Tower.

  • Empêche la modification de tout rôle IAM dans les comptes enfants, lorsque le nom du rôle IAM correspond au modèlestacksets-exec-*.

La mise à jour de la version Guardrail affecte vos unités d'organisation et vos comptes comme suit :

  • Si vous étendez la gouvernance à une unité d'organisation, cette unité d'organisation entrante reçoit la version mise à jour du garde-corps dans le cadre du processus d'enregistrement. Il n'est pas nécessaire de mettre à jour votre landing zone pour obtenir la dernière version de cette unité d'organisation. AWS Control Tower applique automatiquement la dernière version aux unités d'organisation qui s'enregistrent.

  • Si vous mettez à jour ou réparez votre landing zone à tout moment après cette version, votre garde-corps sera mis à jour vers cette version pour un approvisionnement future.

  • Les unités d'organisation créées ou enregistrées auprès d'AWS Control Tower avant cette date de sortie, et qui font partie d'une landing zone qui n'a pas été réparée ou mise à jour après la date de sortie, continueront à fonctionner avec l'ancienne version du garde-corps, qui bloque la création duAWSControlTowerExecutionRôle.

  • L'une des conséquences de cette mise à jour du garde-corps est que vos unités d'organisation peuvent fonctionner avec différentes versions du garde-corps. Mettez à jour votre landing zone pour appliquer la version mise à jour du garde-corps à vos unités d'organisation de manière uniforme.

L'artefact du garde-corps mis à jour est le SCP suivant.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }

L'ancien artefact de ce garde-corps est le SCP suivant.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées aux fonctions AWS Lambda configurées par AWS Control Tower

Ce garde-corps interdit les modifications apportées aux fonctions AWS Lambda configurées par AWS Control Tower. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées à Amazon SNS configurées par AWS Control Tower

Ce garde-corps interdit les modifications apportées à Amazon SNS par AWS Control Tower. Il protège l'intégrité des paramètres de notification Amazon SNS pour votre landing zone. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Interdire les modifications apportées aux abonnements Amazon SNS configurés par AWS Control Tower

Ce garde-corps interdit les modifications apportées aux abonnements Amazon SNS configurés par AWS Control Tower. Il protège l'intégrité des paramètres des abonnements Amazon SNS pour votre landing zone, afin de déclencher des notifications pourAWS Config RulesChangements de conformité. Il s'agit d'une barrière de sécurité de prévention avec des conseils obligatoires. Par défaut, cette barrière de sécurité est activée dans toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Détectez si les comptes partagés relevant de l'unité organisationnelle de sécurité disposent d'AWS CloudTrail ou CloudTrail Lake activé)

Ce garde-corps détecte si les comptes partagés relevant de l'unité organisationnelle Sécurité ontAWS CloudTrailou CloudTrail Lake Activation. La règle est NON_COMPLIANT si CloudTrail ou CloudTrail Lake n'est pas activé dans un compte partagé. Il s'agit d'une barrière de sécurité de détection avec des conseils obligatoires. Par défaut, ce garde-corps est activé sur l'unité d'organisation de sécurité.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to detect whether an account has AWS CloudTrail or CloudTrail Lake enabled. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForCloudtrailEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an account has AWS CloudTrail or CloudTrail Lake enabled. The rule is NON_COMPLIANT if either CloudTrail or CloudTrail Lake is not enabled in an account. Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED