データレジデンシー保護を強化するコントロール - AWS Control Tower
動画: データレジデンシーコントロールを有効にするDisallow internet access for an Amazon VPC instance managed by a customer (顧客が管理する Amazon VPC インスタンスのインターネットアクセスを許可しない)Disallow Amazon Virtual Private Network (VPN) connections (Amazon Virtual Private Network (VPN) 接続を許可しない)Amazon EC2、Amazon CloudFront、 AWS およびグローバルアクセラレータのクロスリージョンネットワーキングを許可しない Detect whether public IP addresses for Amazon EC2 autoscaling are enabled through launch configurations (Amazon EC2 Auto Scaling のパブリック IP アドレスが起動設定によって有効になっているかどうかを検出する) Detect whether replication instances for AWS Database Migration Service are public (Database Migration Service のレプリケーションインスタンスがパブリックであるかどうかを検証する) Amazon EBS スナップショットがすべてのアカウントで復元可能かどうかを検出する AWSDetect whether any Amazon EC2 instance has an associated public IPv4 address (Amazon EC2 インスタンスにパブリック IPv4 アドレスが関連付けられているかどうかを検出する)Detect whether Amazon S3 settings to block public access are set as true for the account (パブリックアクセスをブロックする Simple Storage Service (Amazon S3) の設定がアカウントに対して True に設定されているかどうかを検出する)Detects whether an Amazon EKS endpoint is blocked from public access (Amazon EKS エンドポイントがパブリックアクセスからブロックされているかどうかを検出する) OpenSearch アマゾンサービスドメインが Amazon VPC にあるかどうかを検出するDetect whether any Amazon EMR cluster master nodes have public IP addresses (Amazon EMR クラスターマスターノードにパブリック IP アドレスがあるかどうかを検出する)Lambda リソースにアタッチされている AWS Lambda 関数ポリシーがパブリックアクセスをブロックしているかどうかを検出しますDetect whether public routes exist in the route table for an Internet Gateway (IGW) (インターネットゲートウェイ (IGW、Internet Gateway) のルートテーブルにパブリックルートが存在するかどうかを検出する) Detect whether Amazon Redshift clusters are blocked from public access (Amazon Redshift クラスターがパブリックアクセスからブロックされているかどうかを検出する)Amazon SageMaker ノートブックインスタンスがインターネットへの直接アクセスを許可しているかどうかを検出するDetect whether any Amazon VPC subnets are assigned a public IP address (Amazon VPC サブネットにパブリック IP アドレスが割り当てられているかどうかを検出する)Detect whether AWS Systems Manager documents owned by the account are public (アカウントが所有する AWS Systems Manager ドキュメントがパブリックであるかどうかを検出する)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データレジデンシー保護を強化するコントロール

これらの選択的コントロールは、企業のデータレジデンシー体制を補完します。これらのコントロールを組み合わせて適用することで、マルチアカウント環境を設定して、選択した 1 つまたは複数のリージョンの外で、意図的または偶発的にデータを作成、共有、またはコピーすることを検出して防止することができます。 AWS

これらのコントロールは OU レベルで有効になり、OU 内のすべてのメンバーアカウントに適用されます。

重要

AWS Identity and Access Management (IAM) AWS などの特定のグローバルサービスは AWS Organizations、これらの制御の対象外です。除外されているサービスを特定するには、サンプルコードに示されているリージョン拒否 SCP を確認します。識別子の後に「*」の付いたサービスは除外されます。これは、「*」表記が付くと、すべてのアクションが許可されるためです。基本的に、この SCP には明示的に許可されたアクションのリストが含まれており、他のアクションはすべて拒否されます。ホームリージョンへのアクセスを拒否することはできません。

動画: データレジデンシーコントロールを有効にする

この動画 (5:58) では、AWS Control Tower コントロールでデータレジデンシーコントロールを有効にする方法について説明します。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

注記

この動画で示されているように、AWS Control Tower はカテゴリ別のコントロールリストの検索をサポートしなくなりましたデータレジデンシー統制を簡単に見分けるために、統制リストをリリース日順にソートすることをお勧めします。リリース日が 2021 年 11 月 30 日のコントロールは、動画で紹介されているデータレジデンシーカテゴリのコントロールと同じです。

このビデオには、ガードレールという用語が含まれています。ガードレールという用語は、制御に使用される古い用語の AWS Control Towerです。業界での使用法やその他のサービスとの整合性を高めるため、この用語を更新しました。 AWS これらの用語は、当社の目的では同義語です。

トピック

Disallow internet access for an Amazon VPC instance managed by a customer (顧客が管理する Amazon VPC インスタンスのインターネットアクセスを許可しない)

このコントロールは、サービスではなく顧客が管理する Amazon Virtual Private Cloud (VPC) インスタンスのインターネットアクセスを拒否します。 AWS

重要

VPC インターネットアクセス設定を有効にして Account Factory アカウントをプロビジョニングすると、その Account Factory 設定はこのコントロールをオーバーライドします。新しくプロビジョニングされたアカウントのインターネットアクセスを有効にしないようにするには、Account Factory で設定を変更する必要があります。詳細については、「チュートリアル: VPC を使用せずに AWS Control Tower を設定する」を参照してください。

  • このコントロールは、サービスによって管理される VPC には適用されません。 AWS

  • インターネットにアクセスできる既存の VPC は、インターネットアクセスを保持します。これは、新しいインスタンスにのみ適用されます。このコントロールが適用されると、アクセスを変更できません。

これは、選択的ガイダンスによる予防コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

このコントロールのアーティファクトは、次のサービスコントロールポリシー (SCP) です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWVPCINTERNETACCESS", "Effect": "Deny", "Action": [ "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:CreateEgressOnlyInternetGateway", "ec2:AttachEgressOnlyInternetGateway", "ec2:CreateDefaultVpc", "ec2:CreateDefaultSubnet", "ec2:CreateCarrierGateway" ], "Resource": [ "*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Disallow Amazon Virtual Private Network (VPN) connections (Amazon Virtual Private Network (VPN) 接続を許可しない)

このコントロールは、Amazon Virtual Private Cloud (VPC) へのバーチャルプライベートネットワーク (VPN) 接続 (サイト間 VPN およびクライアント VPN) を防止します。

注記

インターネットにアクセスできる既存の VPC は、インターネットアクセスを保持します。

これは、選択的ガイダンスによる予防コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

このコントロールのアーティファクトは、次のサービスコントロールポリシー (SCP) です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWVPNCONNECTIONS", "Effect": "Deny", "Action": [ "ec2:CreateVPNGateway", "ec2:AttachVPNGateway", "ec2:CreateCustomerGateway", "ec2:CreateVpnConnection", "ec2:ModifyVpnConnection", "ec2:CreateClientVpnEndpoint", "ec2:ModifyClientVpnEndpoint", "ec2:AssociateClientVpnTargetNetwork", "ec2:AuthorizeClientVpnIngress" ], "Resource": [ "*" ] } ] }

Amazon EC2、Amazon CloudFront、 AWS およびグローバルアクセラレータのクロスリージョンネットワーキングを許可しない

このコントロールにより、Amazon EC2、Amazon CloudFront、 AWS およびグローバルアクセラレータサービスからのクロスリージョンネットワーク接続の設定が防止されます。これにより、VPC ピアリングとトランジットゲートウェイピアリングが防止されます。

注記

このコントロールは、1 つのリージョン内およびリージョン間での Amazon EC2 VPC ピアリングおよび Amazon EC2 トランジットゲートウェイピアリングを防止します。このため、このコントロールは、データレジデンシー体制だけでなく、特定のワークロードにも影響を与える可能性があります。

これは、選択的ガイダンスによる予防コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

このコントロールのアーティファクトは、次のサービスコントロールポリシー (SCP) です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWCROSSREGIONNETWORKING", "Effect": "Deny", "Action": [ "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateTransitGatewayPeeringAttachment", "ec2:AcceptTransitGatewayPeeringAttachment", "cloudfront:CreateDistribution", "cloudfront:UpdateDistribution", "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": [ "*" ] } ] }

Detect whether public IP addresses for Amazon EC2 autoscaling are enabled through launch configurations (Amazon EC2 Auto Scaling のパブリック IP アドレスが起動設定によって有効になっているかどうかを検出する)

このコントロールは、Amazon EC2 Auto Scaling グループのパブリック IP アドレスが、起動設定によって有効になっているかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • Auto Scaling グループの起動設定により AssociatePublicIpAddress フィールドの値が [True] に設定されている場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

このコントロールのアーティファクトは以下のルールです。 AWS Config

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether public IP addresses for Amazon EC2 Auto Scaling are enabled through launch configurations Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: AutoscalingLaunchConfigPublicIpDisabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon EC2 Auto Scaling groups have public IP addresses enabled through launch configurations. This rule is NON_COMPLIANT if the launch configuration for an Auto Scaling group has the value of the field AssociatePublicIpAddress set as True. Scope: ComplianceResourceTypes: - AWS::AutoScaling::LaunchConfiguration Source: Owner: AWS SourceIdentifier: AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

Detect whether replication instances for AWS Database Migration Service are public (Database Migration Service のレプリケーションインスタンスがパブリックであるかどうかを検証する)

このコントロールは、 AWS Database Migration Service レプリケーションインスタンスがパブリックかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • PubliclyAccessible フィールドの値が [True] に設定されている場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether replication instances for AWS Database Migration Service are public Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: DmsReplicationNotPublic: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether AWS Database Migration Service replication instances are public. The rule is NON_COMPLIANT if the value of the PubliclyAccessible field is set as True. Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Amazon EBS スナップショットがすべてのアカウントで復元可能かどうかを検出する AWS

このコントロールは、 AWS すべてのアカウントが Amazon EBS スナップショットを復元するためのアクセス権を持っているかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • RestorableByUserIds フィールドが値 [All] (すべて) に設定されているスナップショットがある場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。その場合、Amazon EBS スナップショットはパブリックになります。

このコントロールのアーティファクトは以下のルールです。 AWS Config

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether Amazon EBS snapshots are restorable by all AWS accounts Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EbsSnapshotPublicRestorableCheck: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether all AWS accounts have access to restore Amazon EBS snapshots. The rule is NON_COMPLIANT if any snapshots have the RestorableByUserIds field set to the value All. In that case, the Amazon EBS snapshots are public. Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detect whether any Amazon EC2 instance has an associated public IPv4 address (Amazon EC2 インスタンスにパブリック IPv4 アドレスが関連付けられているかどうかを検出する)

このコントロールは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリック IPv4 アドレスが関連付けられているかどうかを検出します。このコントロールは、IPv4 アドレスにのみ適用されます。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • Amazon EC2 インスタンスの設定項目にパブリック IP フィールドが存在する場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether any Amazon EC2 instance has an associated public IPv4 address Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: Ec2InstanceNoPublicIp: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an Amazon Elastic Compute Cloud (Amazon EC2) instance has an associated public IPv4 address. The rule is NON_COMPLIANT if the public IP field is present in the Amazon EC2 instance configuration item. Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP

Detect whether Amazon S3 settings to block public access are set as true for the account (パブリックアクセスをブロックする Simple Storage Service (Amazon S3) の設定がアカウントに対して True に設定されているかどうかを検出する)

このコントロールは、パブリックアクセスをブロックするために必要な Amazon S3 設定が、バケットまたはアクセスポイントではなくアカウントに対して true に設定されているかどうかを定期的に検出します。

コンソールで:
  • 少なくとも 1 つの設定が [False] である場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to check whether Amazon S3 settings to block public access are set as true for the account. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' PublicAccessBlockSetting: Type: 'String' Default: 'True' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForS3PublicAccessBlock: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks the Amazon S3 settings to block public access are set as true for the account. The rule is non-compliant if at-least one of the settings is false. Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Scope: ComplianceResourceTypes: - AWS::S3::AccountPublicAccessBlock InputParameters: IgnorePublicAcls: !Ref PublicAccessBlockSetting BlockPublicPolicy: !Ref PublicAccessBlockSetting BlockPublicAcls: !Ref PublicAccessBlockSetting RestrictPublicBuckets: !Ref PublicAccessBlockSetting MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detects whether an Amazon EKS endpoint is blocked from public access (Amazon EKS エンドポイントがパブリックアクセスからブロックされているかどうかを検出する)

このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセスからブロックされているかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • エンドポイントがパブリックにアクセス可能な場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon EKS endpoint is blocked from public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EKSEndpointNoPublicAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an Amazon Elastic Kubernetes Service (Amazon EKS) endpoint is publicly accessible. The rule is NON_COMPLIANT if the endpoint is publicly accessible. Source: Owner: AWS SourceIdentifier: EKS_ENDPOINT_NO_PUBLIC_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

OpenSearch アマゾンサービスドメインが Amazon VPC にあるかどうかを検出する

このコントロールは、Amazon OpenSearch サービスのドメインが Amazon VPC にあるかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • OpenSearchサービスドメインエンドポイントが公開されている場合、ルールは非準拠ステータスを表示します

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon OpenSearch Service domain is in Amazon VPC Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: ElasticsearchInVpcOnly: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon OpenSearch Service domains are in Amazon Virtual Private Cloud (Amazon VPC). The rule is NON_COMPLIANT if the OpenSearch Service domain endpoint is public. Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detect whether any Amazon EMR cluster master nodes have public IP addresses (Amazon EMR クラスターマスターノードにパブリック IP アドレスがあるかどうかを検出する)

このコントロールは、Amazon EMR クラスターマスターノードにパブリック IP アドレスがあるかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • マスターノードにパブリック IP アドレスがある場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

  • このコントロールは、RUNNING または WAITING 状態のクラスターをチェックします。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether any Amazon EMR cluster master nodes have public IP addresses Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EmrMasterNoPublicIp: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether any Amazon Elastic MapReduce (EMR) cluster master nodes have public IP addresses. The rule is NON_COMPLIANT if a master node has a public IP. This control checks clusters that are in RUNNING or WAITING state. Source: Owner: AWS SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Lambda リソースにアタッチされている AWS Lambda 関数ポリシーがパブリックアクセスをブロックしているかどうかを検出します

このコントロールは、Lambda リソースにアタッチされている AWS Lambda 関数ポリシーがパブリックアクセスをブロックしているかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • Lambda 関数ポリシーがパブリックアクセスを許可している場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

このコントロールのアーティファクトは次のルールです。 AWS Config

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether the AWS Lambda function policy attached to the Lambda resource blocks public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: LambdaFunctionPublicAccessProhibited: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether the AWS Lambda function policy attached to the Lambda resource prohibits public access. The rule is NON_COMPLIANT if the Lambda function policy allows public access. Scope: ComplianceResourceTypes: - AWS::Lambda::Function Source: Owner: AWS SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Detect whether public routes exist in the route table for an Internet Gateway (IGW) (インターネットゲートウェイ (IGW、Internet Gateway) のルートテーブルにパブリックルートが存在するかどうかを検出する)

このコントロールは、インターネットゲートウェイ (IGW) に関連付けられたルートテーブルにパブリックルートが存在するかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • ルートに 0.0.0.0/0 または ::/0 の送信先 CIDR ブロックがある場合、あるいは送信先 CIDR ブロックがルールパラメータと一致しない場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

注記

IGW へのルートのいずれかの宛先 CIDR ブロックが 0.0.0.0/0 または ::/0 の場合、このコントロールは失敗します。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether public routes exist in the route table for an Internet Gateway (IGW) Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: NoUnrestrictedRouteToIgw: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether public routes exist in the route table associated with an Internet Gateway (IGW). The rule is NON_COMPLIANT if a route has a destination CIDR block of '0.0.0.0/0' or '::/0' or if a destination CIDR block does not match the rule parameter. Scope: ComplianceResourceTypes: - AWS::EC2::RouteTable Source: Owner: AWS SourceIdentifier: NO_UNRESTRICTED_ROUTE_TO_IGW

Detect whether Amazon Redshift clusters are blocked from public access (Amazon Redshift クラスターがパブリックアクセスからブロックされているかどうかを検出する)

このコントロールは、Amazon Redshift クラスターがパブリックアクセスからブロックされているかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • クラスターの設定項目で publiclyAccessible フィールドが [True] に設定されている場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether Amazon Redshift clusters are blocked from public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: RedshiftClusterPublicAccessCheck: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon Redshift clusters are blocked from public access. The rule is NON_COMPLIANT if the publiclyAccessible field is true in the cluster configuration item. Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Amazon SageMaker ノートブックインスタンスがインターネットへの直接アクセスを許可しているかどうかを検出する

このコントロールは、Amazon SageMaker ノートブックインスタンスがインターネットへの直接アクセスを許可しているかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • Amazon SageMaker ノートブックインスタンスがインターネットへの直接アクセスを許可している場合、ルールは「非準拠」ステータスを表示します。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon SageMaker notebook instance allows direct internet access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: SagemakerNotebookNoDirectInternetAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether direct internet access is allowed for an Amazon SageMaker notebook instance. The rule is NON_COMPLIANT if Amazon SageMaker notebook instances allow direct internet access. Source: Owner: AWS SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detect whether any Amazon VPC subnets are assigned a public IP address (Amazon VPC サブネットにパブリック IP アドレスが割り当てられているかどうかを検出する)

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが割り当てられているかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

コンソールで:
  • Amazon VPC にパブリック IP アドレスが割り当てられているサブネットがある場合、ルールには [Non-compliant] (非準拠) ステータスが表示されます。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Detect whether any Amazon VPC subnets are assigned a public IP address Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: SubnetAutoAssignPublicIpDisabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon Virtual Private Cloud (Amazon VPC) subnets are assigned a public IP address. The rule is NON_COMPLIANT if Amazon VPC has subnets that are assigned a public IP address. Scope: ComplianceResourceTypes: - AWS::EC2::Subnet Source: Owner: AWS SourceIdentifier: SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

Detect whether AWS Systems Manager documents owned by the account are public (アカウントが所有する AWS Systems Manager ドキュメントがパブリックであるかどうかを検出する)

このコントロールは、アカウントが所有する AWS Systems Manager ドキュメントがパブリックであるかどうかを検出します。

これは、選択的ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは OU で有効になっていません。

AWS Config このコントロールのアーティファクトは以下のルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether AWS Systems Manager documents owned by the account are public Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: SsmDocumentNotPublic: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether AWS Systems Manager (SSM) documents owned by the account are public. This rule is NON_COMPLIANT if any documents with owner 'Self' are public. Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency