AWS CloudFormation StackSets のサンプルテンプレート - AWS CloudFormation

AWS CloudFormation StackSets のサンプルテンプレート

このセクションは、エンタープライズで AWS CloudFormation StackSets を使用する手助けとなる、いくつかの AWS CloudFormation テンプレートへのリンクを含んでいます。このセクションに示すテンプレートは AWS CloudTrail または AWS Config と共に、その中のルールも有効にします。

重要

AWS Config から Amazon S3 バケットへのアクセスを許可する場合のセキュリティのベストプラクティスとして、バケットポリシーで AWS:SourceAccount 条件を使用してアクセスを制限することを強くお勧めします。新しいテンプレートは、AWS:SourceAccount を含むよう更新されました。既存のバケットポリシーがこのセキュリティのベストプラクティスに従わない場合は、この保護を含めるようにバケットポリシーを編集することを強くお勧めします。これにより、AWS Config は想定されるユーザーにのみアクセス権が付与されます。

サンプルテンプレート
説明 S3 リンク
AWS CloudTrail の有効化 https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSCloudtrail.yml
AWS Config の有効化 https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfig.yml
中央ログで AWS Config を有効にする https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfigForOrganizations.yml
CloudTrail が有効になっているかどうかを判断するために AWS Config ルールを設定する https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleCloudtrailEnabled.yml
ルート MFA が有効になっているか判断するために AWS Config を設定する https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleRootAccountMFAEnabled.yml
EIP が添付されているか判断するために AWS Config を設定する https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEipAttached.yml
EBS ボリュームが暗号化されているか判断するために AWS Config を設定する https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml