AWS CloudFormation StackSets のサンプルテンプレート

このセクションは、エンタープライズで AWS CloudFormation StackSets を使用する手助けとなる、いくつかの AWS CloudFormation テンプレートへのリンクを含んでいます。このセクションに示すテンプレートは AWS CloudTrail または AWS Config と共に、その中のルールも有効にします。

重要

AWS Config から Amazon S3 バケットへのアクセスを許可する場合のセキュリティのベストプラクティスとして、バケットポリシーで AWS:SourceAccount 条件を使用してアクセスを制限することを強くお勧めします。新しいテンプレートは、AWS:SourceAccount を含むよう更新されました。既存のバケットポリシーがこのセキュリティのベストプラクティスに従わない場合は、この保護を含めるようにバケットポリシーを編集することを強くお勧めします。これにより、AWS Config は想定されるユーザーにのみアクセス権が付与されます。

説明	S3 リンク
AWS CloudTrail の有効化	https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSCloudtrail.yml
AWS Config の有効化	https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfig.yml
中央ログで AWS Config を有効にする	https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfigForOrganizations.yml
AWS 組織、または特定の AWS アカウント全体で Amazon Data Lifecycle Manager デフォルトポリシーを有効にする	EBS スナップショットのデフォルトポリシー – https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml EBS-backed AMI のデフォルトポリシー – https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml
CloudTrail が有効になっているかどうかを判断するために AWS Config ルールを設定する	https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleCloudtrailEnabled.yml
ルート MFA が有効になっているか判断するために AWS Config を設定する	https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleRootAccountMFAEnabled.yml
EIP が添付されているか判断するために AWS Config を設定する	https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEipAttached.yml
EBS ボリュームが暗号化されているか判断するために AWS Config を設定する	https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml