Barrages de protection de déploiement fortement recommandés - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Barrages de protection de déploiement fortement recommandés

Les protections de sécurité fortement recommandées reposent sur les bonnes pratiques en matière d'environnements à plusieurs comptes bien conçus. Ces barrières de sécurité ne sont pas activées par défaut et peuvent être désactivées. Vous trouverez ci-dessous une référence pour chacun des garde-corps fortement recommandés disponibles dans AWS Control Tower.

Interdire la création de clés d'accès pour l'utilisateur racine

SécurisationAWScomptes en interdisant la création de clés d'accès pour l'utilisateur racine. Nous vous recommandons plutôt de créer des clés d'accès pour les utilisateurs IAM disposant d'autorisations limitées pour interagir avec votreAWSCompte. Il s'agit d'une barrière de sécurité préventive avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTROOTUSERACCESSKEYS", "Effect": "Deny", "Action": "iam:CreateAccessKey", "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ] }

Interdire les actions en tant qu'utilisateur racine

SécurisationAWScomptes en interdisant l'accès au compte avec les informations d'identification de l'utilisateur root, qui sont des informations d'identification du propriétaire du compte qui permettent un accès illimité à toutes les ressources du compte. À la place, nous vous recommandons de créerAWS Identity and Access Management(IAM) pour les interactions quotidiennes avec votreAWSCompte. Il s'agit d'une barrière de sécurité préventive avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la SCP suivante.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTROOTUSER", "Effect": "Deny", "Action": "*", "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ] }

Détecter si le chiffrement est activé pour les volumes Amazon EBS attachés aux instances Amazon EC2

Cette barrière de sécurité détecte si les volumes Amazon EBS attachés à une instance Amazon EC2 sont chiffrés. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée sur toutes les unités d'organisation.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check for encryption of all storage volumes attached to compute Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForEncryptedVolumes: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether EBS volumes that are in an attached state are encrypted. Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Scope: ComplianceResourceTypes: - AWS::EC2::Volume

Détecter si le trafic TCP entrant illimité est autorisé

Ce garde-corps permet de réduire l'exposition d'un serveur aux risques en détectant si le trafic TCP entrant illimité est autorisé. Il détecte si les connexions Internet sont activées vers les instances Amazon EC2 via des services tels que le Remote Desktop Protocol (RDP). Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether security groups that are in use disallow unrestricted incoming TCP traffic to the specified ports. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' blockedPort1: Type: String Default: '20' Description: Blocked TCP port number. blockedPort2: Type: String Default: '21' Description: Blocked TCP port number. blockedPort3: Type: String Default: '3389' Description: Blocked TCP port number. blockedPort4: Type: String Default: '3306' Description: Blocked TCP port number. blockedPort5: Type: String Default: '4333' Description: Blocked TCP port number. Conditions: blockedPort1: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort1 blockedPort2: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort2 blockedPort3: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort3 blockedPort4: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort4 blockedPort5: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort5 Resources: CheckForRestrictedCommonPortsPolicy: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether security groups that are in use disallow unrestricted incoming TCP traffic to the specified ports. InputParameters: blockedPort1: Fn::If: - blockedPort1 - Ref: blockedPort1 - Ref: AWS::NoValue blockedPort2: Fn::If: - blockedPort2 - Ref: blockedPort2 - Ref: AWS::NoValue blockedPort3: Fn::If: - blockedPort3 - Ref: blockedPort3 - Ref: AWS::NoValue blockedPort4: Fn::If: - blockedPort4 - Ref: blockedPort4 - Ref: AWS::NoValue blockedPort5: Fn::If: - blockedPort5 - Ref: blockedPort5 - Ref: AWS::NoValue Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: RESTRICTED_INCOMING_TRAFFIC

Détecter si une connexion Internet illimitée via SSH est autorisée

Ce garde-corps détecte si les connexions Internet sont autorisées via des services distants tels que le protocole Secure Shell (SSH). Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether security groups that are in use disallow SSH Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForRestrictedSshPolicy: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether security groups that are in use disallow unrestricted incoming SSH traffic. Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED

Détecter si l'authentification MFA est activée pour l'utilisateur root

Cette barrière de sécurité détecte si l'authentification multi-facteurs (MFA) est activée pour l'utilisateur racine du compte de gestion. La MFA réduit les risques de vulnérabilité liés à une authentification faible en exigeant un code d'authentification supplémentaire une fois que le nom d'utilisateur et le mot de passe sont corrects. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to require MFA for root access to accounts Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForRootMfa: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the root user of your AWS account requires multi-factor authentication for console sign-in. Source: Owner: AWS SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Détecter si l'accès public en lecture aux compartiments Amazon S3 est autorisé

Cette glissière de sécurité détecte si l'accès public en lecture est autorisé à accéder aux compartiments Amazon S3. Il vous aide à maintenir un accès sécurisé aux données stockées dans les compartiments. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Détecter si l'accès public en écriture aux compartiments Amazon S3 est autorisé

Ce garde-corps détecte si l'accès public en écriture est autorisé à accéder aux compartiments Amazon S3. Il vous aide à maintenir un accès sécurisé aux données stockées dans les compartiments. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Détecter si des volumes Amazon EBS sont attachés à des instances Amazon EC2

Ce garde-corps détecte si un périphérique de volume Amazon EBS persiste indépendamment d'une instance Amazon EC2. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether EBS volumes are attached to EC2 instances Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' deleteOnTermination: Type: 'String' Default: 'None' Description: 'Check for Delete on termination' Conditions: deleteOnTermination: Fn::Not: - Fn::Equals: - 'None' - Ref: deleteOnTermination Resources: CheckForEc2VolumesInUse: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether EBS volumes are attached to EC2 instances InputParameters: deleteOnTermination: Fn::If: - deleteOnTermination - Ref: deleteOnTermination - Ref: AWS::NoValue Source: Owner: AWS SourceIdentifier: EC2_VOLUME_INUSE_CHECK Scope: ComplianceResourceTypes: - AWS::EC2::Volume

Détecter si l'optimisation Amazon EBS est activée pour les instances Amazon EC2

Détecte si les instances Amazon EC2 sont lancées sans volume Amazon EBS optimisé pour les performances. Les volumes optimisés pour Amazon EBS réduisent les conflits entre Amazon EBS I/O et le trafic restant de votre instance. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether EBS optimization is enabled for your EC2 instances that can be EBS-optimized Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForEbsOptimizedInstance: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether EBS optimization is enabled for your EC2 instances that can be EBS-optimized Source: Owner: AWS SourceIdentifier: EBS_OPTIMIZED_INSTANCE Scope: ComplianceResourceTypes: - AWS::EC2::Instance

Détecter si l'accès public aux instances de base de données Amazon RDS est activé

Détecte si vos instances de base de données Amazon RDS autorisent un accès public. Vous pouvez sécuriser vos instances de base de données Amazon RDS en interdisant l'accès public. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether Amazon RDS instances are not publicly accessible. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForRdsPublicAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the Amazon Relational Database Service (RDS) instances are not publicly accessible. The rule is non-compliant if the publiclyAccessible field is true in the instance configuration item. Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance

Détecter si l'accès public aux instantanés de base de données Amazon RDS est activé

Détecte si l'accès public à vos instantanés de base de données Amazon RDS est activé. Vous pouvez protéger vos informations en désactivant l'accès public. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Checks if Amazon Relational Database Service (Amazon RDS) snapshots are public. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForRdsStorageEncryption: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks if Amazon Relational Database Service (Amazon RDS) snapshots are public. The rule is non-compliant if any existing and new Amazon RDS snapshots are public. Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot

Détecter si le chiffrement du stockage est activé pour les instances de base de données Amazon

Détecte les instances de base de données Amazon RDS non cryptées au repos. Vous pouvez sécuriser vos instances de base de données Amazon RDS au repos en chiffrant le stockage sous-jacent pour les instances de base de données et leurs sauvegardes automatisées, leurs répliques de lecture et leurs instantanés. Cette barrière de sécurité ne modifie pas le statut du compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, cette barrière de sécurité n'est pas activée.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether storage encryption is enabled for your RDS DB instances Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForRdsStorageEncryption: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether storage encryption is enabled for your RDS DB instances. Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance

Ce garde-corps détecte si un compte possèdeAWS CloudTrailou CloudTrailLake activé. La règle est NON_COMPLIANT si CloudTrail ou CloudTrail Lake n'est pas activé sur un compte. Il s'agit d'une barrière de sécurité de détection avec des conseils fortement recommandés. Par défaut, ce garde-corps n'est activé sur aucune unité d'organisation.

L'artefact de cette barrière de sécurité est la règle AWS Config suivante.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to detect whether an account has AWS CloudTrail or CloudTrail Lake enabled. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForCloudtrailEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an account has AWS CloudTrail or CloudTrail Lake enabled. The rule is NON_COMPLIANT if either CloudTrail or CloudTrail Lake is not enabled in an account. Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED