選択的ガードレール

選択的ガードレールを使用すると、AWS エンタープライズ環境で一般的に制限されているアクションが実行されようとした場合、その試みをロックダウンまたは追跡できます。これらのガードレールはデフォルトで無効になっており、無効のままでもかまいません。以下に、AWS Control Tower で使用できる各選択的ガードレールのリファレンスを示します。

Amazon S3 バケットの暗号化設定の変更を許可しない [以前の: Enable Encryption at Rest at Rest

このガードレールにより、すべての Amazon S3 バケットに対して暗号化の変更が禁止されます。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、次のサービスコントロールポリシー (SCP) です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GRAUDITBUCKETENCRYPTIONENABLED",
            "Effect": "Deny",
            "Action": [
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": ["*"],
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution"
                }
            }
        }
    ]
}
 

Amazon S3 バケットのロギング設定の変更を許可しない [以前のバージョン: ログアーカイブのアクセスログを有効にする]

このガードレールにより、すべての Amazon S3 バケットのログ記録設定の変更が禁止されます。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GRAUDITBUCKETLOGGINGENABLED",
            "Effect": "Deny",
            "Action": [
                "s3:PutBucketLogging"
            ],
            "Resource": ["*"],
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution"
                }
            }
        }
    ]
}

Amazon S3 バケットのバケットポリシーの変更を許可しない [以前の: Log Archive (ログアーカイブのポリシー変更を禁止する)

このガードレールは、すべての Amazon S3 バケットのバケットポリシーの変更を許可しません。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GRAUDITBUCKETPOLICYCHANGESPROHIBITED",
            "Effect": "Deny",
            "Action": [
                "s3:PutBucketPolicy"
            ],
            "Resource": ["*"],
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution"
                }
            }
        }
    ]
}

Amazon S3 バケットのライフサイクル設定の変更を許可しない [以前の: Log Archive (ログアーカイブの保持ポリシーを設定する)

このガードレールは、すべての Amazon S3 バケットのライフサイクル設定の変更を許可しません。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GRAUDITBUCKETRETENTIONPOLICY",
            "Effect": "Deny",
            "Action": [
                "s3:PutLifecycleConfiguration"
            ],
            "Resource": ["*"], 
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution"
                }
            }
        }
    ]
}

Amazon S3 バケットのレプリケーション設定の変更を許可しない

リージョン内またはリージョン間のレプリケーションを処理するように Amazon S3 バケットの設定方法を変更しないようにします。たとえば、バケットを単一リージョンレプリケーションでセットアップし、Amazon S3 データの場所を単一の AWS リージョンに制限する（これにより、バケット間で他の AWS リージョンへのオブジェクトの自動非同期コピーを無効にする）場合、このガードレールにより、レプリケーション設定がが変更されました。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION",
            "Effect": "Deny",
            "Action": [
                "s3:PutReplicationConfiguration"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

MFA なしの Amazon S3 バケットでの削除アクションを許可しない

削除アクションに MFA を必須とすることで、Amazon S3 バケットを保護します。MFA では、ユーザー名とパスワードが成功した後、追加の認証コードが必要です。これは、選択的ガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の SCP です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GRRESTRICTS3DELETEWITHOUTMFA",
            "Effect": "Deny",
            "Action": [
                "s3:DeleteObject",
                "s3:DeleteBucket"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": [
                        "false"
                    ]
                }
            }
        }
    ]
}

AWS IAM ユーザーに対して MFA が有効になっているかどうかを検出する

このガードレールにより、AWS IAMUsers に対して MFA が有効になっているかどうかが検出されます。アカウントのすべての AWS IAM ユーザーに MFA を必須とすることで、アカウントを保護できます。MFA は、ユーザー名とパスワードが成功した後、追加の認証コードを必要とします。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config rules to check whether the IAM users have MFA enabled
Parameters:
  ConfigRuleName:
    Type: 'String'
    Description: 'Name for the Config rule'
  MaximumExecutionFrequency:
    Type: String
    Default: 1hour
    Description: The frequency that you want AWS Config to run evaluations for the rule.
    AllowedValues:
    - 1hour
    - 3hours
    - 6hours
    - 12hours
    - 24hours
Mappings:
  Settings:
    FrequencyMap:
      1hour   : One_Hour
      3hours  : Three_Hours
      6hours  : Six_Hours
      12hours : Twelve_Hours
      24hours : TwentyFour_Hours
Resources:
  CheckForIAMUserMFA:
    Type: AWS::Config::ConfigRule
    Properties:
      ConfigRuleName: !Sub ${ConfigRuleName}
      Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled.
      Source:
        Owner: AWS
        SourceIdentifier: IAM_USER_MFA_ENABLED
      MaximumExecutionFrequency:
        !FindInMap
          - Settings
          - FrequencyMap
          - !Ref MaximumExecutionFrequency

AWS コンソールの AWS IAM ユーザーに対して MFA が有効になっているかどうかを検出する

コンソールのすべての AWS IAM ユーザーに MFA を必須とすることで、アカウントを保護します。MFA では、ユーザー名とパスワードが成功した後に追加の認証コードが使用されるため、セキュリティ的に弱い認証から生じる脆弱性のリスクが軽減されます。このガードレールにより、MFA が有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password.
Parameters:
  ConfigRuleName:
    Type: 'String'
    Description: 'Name for the Config rule'
  MaximumExecutionFrequency:
    Type: String
    Default: 1hour
    Description: The frequency that you want AWS Config to run evaluations for the rule.
    AllowedValues:
    - 1hour
    - 3hours
    - 6hours
    - 12hours
    - 24hours
Mappings:
  Settings:
    FrequencyMap:
      1hour   : One_Hour
      3hours  : Three_Hours
      6hours  : Six_Hours
      12hours : Twelve_Hours
      24hours : TwentyFour_Hours
Resources:
  CheckForIAMUserConsoleMFA:
    Type: AWS::Config::ConfigRule
    Properties:
      ConfigRuleName: !Sub ${ConfigRuleName}
      Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled.
      Source:
        Owner: AWS
        SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS
      MaximumExecutionFrequency:
        !FindInMap
          - Settings
          - FrequencyMap
          - !Ref MaximumExecutionFrequency

Amazon S3 バケットのバージョニングが有効かどうかを検出する

Amazon S3 バケットでバージョニングが有効になっているかどうかを検出します。バージョニングにより、誤って削除または上書きしたオブジェクトを復旧できます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっていません。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets.
Parameters:
  ConfigRuleName:
    Type: 'String'
    Description: 'Name for the Config rule'
Resources:
  CheckForS3VersioningEnabled:
    Type: AWS::Config::ConfigRule
    Properties:
      ConfigRuleName: !Sub ${ConfigRuleName}
      Description: Checks whether versioning is enabled for your S3 buckets.
      Source:
        Owner: AWS
        SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
      Scope:
        ComplianceResourceTypes:
          - AWS::S3::Bucket