AWS Control Tower
ユーザーガイド

選択的ガードレール

選択的ガードレールを使用すると、AWS エンタープライズ環境で一般的に制限されているアクションが実行されようとした場合、その試みをロックダウンまたは追跡できます。これらのガードレールはデフォルトで無効になっており、無効のままでもかまいません。以下に、AWS Control Tower で使用できる各選択的ガードレールのリファレンスを示します。

Disallow Cross-Region Replication for Amazon S3 Bucket (Amazon S3 バケットのクロスリージョンレプリケーションを禁止する)

バケット間でオブジェクトを他の AWS リージョンに自動的に非同期コピーすることを無効にすることで、Amazon S3 データの場所を 1 つの AWS リージョンに制限します。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION", "Effect": "Deny", "Action": [ "s3:PutReplicationConfiguration" ], "Resource": [ "*" ] } ] }

Disallow Delete Actions on Amazon S3 Buckets Without MFA (MFA なしの Amazon S3 バケットの削除アクションを禁止する)

削除アクションに MFA を必須とすることで、Amazon S3 バケットを保護します。MFA では、ユーザー名とパスワードのほかに追加の認証コードが使用されます。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3DELETEWITHOUTMFA", "Effect": "Deny", "Action": [ "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": [ "false" ] } } } ] }

Disallow Access to IAM Users Without MFA (MFA なしの IAM ユーザーへのアクセスを禁止する)

アカウントのすべての IAM ユーザーに MFA を必須とすることで、アカウントを保護します。MFA では、ユーザー名とパスワードのほかに追加の認証コードが使用されます。このガードレールにより、MFA が有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether the IAM users have MFA enabled Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Disallow Console Access to IAM Users Without MFA (MFA なしの IAM ユーザーへのコンソールアクセスを禁止する)

コンソールのすべての IAM ユーザーに MFA を必須とすることで、アカウントを保護します。MFA では、ユーザー名とパスワードのほかに追加の認証コードが使用されます。このガードレールにより、MFA が有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserConsoleMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Disallow Amazon S3 Buckets That Are Not Versioning Enabled (バージョニングが有効になっていない Amazon S3 バケットを禁止する)

Amazon S3 バケットでバージョニングに有効になっていないかどうかが検出されます。バージョニングにより、誤って削除または上書きしたオブジェクトを復旧できます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3VersioningEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether versioning is enabled for your S3 buckets. Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Scope: ComplianceResourceTypes: - AWS::S3::Bucket