選択的ガードレール - AWS Control Tower
Disallow Cross-Region Replication for Amazon S3 Bucket (Amazon S3 バケットのクロスリージョンレプリケーションを禁止する)Disallow Delete Actions on Amazon S3 Buckets Without MFA (MFA なしの Amazon S3 バケットの削除アクションを禁止する)Disallow Access to IAM Users Without MFA (MFA なしの IAM ユーザーへのアクセスを禁止する)Disallow Console Access to IAM Users Without MFA (MFA なしの IAM ユーザーへのコンソールアクセスを禁止する)Disallow Amazon S3 Buckets That Are Not Versioning Enabled (バージョニングが有効になっていない Amazon S3 バケットを禁止する)

選択的ガードレール

選択的ガードレールを使用すると、AWS エンタープライズ環境で一般的に制限されているアクションが実行されようとした場合、その試みをロックダウンまたは追跡できます。これらのガードレールはデフォルトで無効になっており、無効のままでもかまいません。以下に、AWS Control Tower で使用できる各選択的ガードレールのリファレンスを示します。

Disallow Cross-Region Replication for Amazon S3 Bucket (Amazon S3 バケットのクロスリージョンレプリケーションを禁止する)

バケット間でオブジェクトを他の AWS リージョンに自動的に非同期コピーすることを無効にすることで、Amazon S3 データの場所を 1 つの AWS リージョンに制限します。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION",
            "Effect": "Deny",
            "Action": [
                "s3:PutReplicationConfiguration"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Disallow Delete Actions on Amazon S3 Buckets Without MFA (MFA なしの Amazon S3 バケットの削除アクションを禁止する)

削除アクションに MFA を必須とすることで、Amazon S3 バケットを保護します。MFA では、ユーザー名とパスワードのほかに追加の認証コードが使用されます。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GRRESTRICTS3DELETEWITHOUTMFA",
            "Effect": "Deny",
            "Action": [
                "s3:DeleteObject",
                "s3:DeleteBucket"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": [
                        "false"
                    ]
                }
            }
        }
    ]
}

Disallow Access to IAM Users Without MFA (MFA なしの IAM ユーザーへのアクセスを禁止する)

アカウントのすべての IAM ユーザーに MFA を必須とすることで、アカウントを保護します。MFA では、ユーザー名とパスワードのほかに追加の認証コードが使用されます。このガードレールにより、MFA が有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config rules to check whether the IAM users have MFA enabled
Parameters:
  ConfigRuleName:
    Type: 'String'
    Description: 'Name for the Config rule'
  MaximumExecutionFrequency:
    Type: String
    Default: 1hour
    Description: The frequency that you want AWS Config to run evaluations for the rule.
    AllowedValues:
    - 1hour
    - 3hours
    - 6hours
    - 12hours
    - 24hours
Mappings:
  Settings:
    FrequencyMap:
      1hour   : One_Hour
      3hours  : Three_Hours
      6hours  : Six_Hours
      12hours : Twelve_Hours
      24hours : TwentyFour_Hours
Resources:
  CheckForIAMUserMFA:
    Type: AWS::Config::ConfigRule
    Properties:
      ConfigRuleName: !Sub ${ConfigRuleName}
      Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled.
      Source:
        Owner: AWS
        SourceIdentifier: IAM_USER_MFA_ENABLED
      MaximumExecutionFrequency:
        !FindInMap
          - Settings
          - FrequencyMap
          - !Ref MaximumExecutionFrequency

Disallow Console Access to IAM Users Without MFA (MFA なしの IAM ユーザーへのコンソールアクセスを禁止する)

コンソールのすべての IAM ユーザーに MFA を必須とすることで、アカウントを保護します。MFA では、ユーザー名とパスワードのほかに追加の認証コードが使用されます。このガードレールにより、MFA が有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password.
Parameters:
  ConfigRuleName:
    Type: 'String'
    Description: 'Name for the Config rule'
  MaximumExecutionFrequency:
    Type: String
    Default: 1hour
    Description: The frequency that you want AWS Config to run evaluations for the rule.
    AllowedValues:
    - 1hour
    - 3hours
    - 6hours
    - 12hours
    - 24hours
Mappings:
  Settings:
    FrequencyMap:
      1hour   : One_Hour
      3hours  : Three_Hours
      6hours  : Six_Hours
      12hours : Twelve_Hours
      24hours : TwentyFour_Hours
Resources:
  CheckForIAMUserConsoleMFA:
    Type: AWS::Config::ConfigRule
    Properties:
      ConfigRuleName: !Sub ${ConfigRuleName}
      Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled.
      Source:
        Owner: AWS
        SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS
      MaximumExecutionFrequency:
        !FindInMap
          - Settings
          - FrequencyMap
          - !Ref MaximumExecutionFrequency

Disallow Amazon S3 Buckets That Are Not Versioning Enabled (バージョニングが有効になっていない Amazon S3 バケットを禁止する)

Amazon S3 バケットでバージョニングに有効になっていないかどうかが検出されます。バージョニングにより、誤って削除または上書きしたオブジェクトを復旧できます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets.
Parameters:
  ConfigRuleName:
    Type: 'String'
    Description: 'Name for the Config rule'
Resources:
  CheckForS3VersioningEnabled:
    Type: AWS::Config::ConfigRule
    Properties:
      ConfigRuleName: !Sub ${ConfigRuleName}
      Description: Checks whether versioning is enabled for your S3 buckets.
      Source:
        Owner: AWS
        SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
      Scope:
        ComplianceResourceTypes:
          - AWS::S3::Bucket