選択的ガードレール
選択的ガードレールを使用すると、AWS エンタープライズ環境で一般的に制限されているアクションが実行されようとした場合、その試みをロックダウンまたは追跡できます。これらのガードレールはデフォルトで無効になっており、無効のままでもかまいません。以下に、AWS Control Tower で使用できる選択的ガードレールのリファレンスを示します。データ所在地用の選択的ガードレールは、別のセクション (「データ所在地保護を強化するガードレール」) にまとめてあります。
トピック
- Disallow Changes to Encryption Configuration for Amazon S3 Buckets (Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない) [Previously: Enable Encryption at Rest for Log Archive (以前: ログアーカイブの保管時に暗号化を有効にする)]
- Disallow Changes to Logging Configuration for Amazon S3 Buckets (Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない) [Previously: Enable Access Logging for Log Archive (以前: ログアーカイブのアクセスログを有効にする)]
- Disallow Changes to Bucket Policy for Amazon S3 Buckets (Amazon S3 バケットのバケットポリシーへの変更を不許可にする) [Previously: Disallow Policy Changes to Log Archive (以前: ログアーカイブのポリシーへの変更を不許可にする)]
- Disallow Changes to Lifecycle Configuration for Amazon S3 Buckets (Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない) [Previously: Set a Retention Policy for Log Archive (以前: ログアーカイブの保持ポリシーを設定する)]
- Disallow Changes to Replication Configuration for Amazon S3 Buckets (Simple Storage Service (Amazon S3) バケットのレプリケーション設定の変更を許可しない)
- Disallow Delete Actions on Amazon S3 Buckets Without MFA (MFA を使用しない Simple Storage Service (Amazon S3) バケットでの削除アクションを許可しない)
- Detect Whether MFA is Enabled for AWS IAM Users ( IAM ユーザーに対して MFA が有効になっているかどうかを検出する)
- Detect Whether MFA is Enabled for AWS IAM Users of the AWS Console ( コンソールの IAM ユーザーに対して MFA が有効になっているかどうかを検出する)
- Detect Whether Versioning for Amazon S3 Buckets is Enabled (Simple Storage Service (Amazon S3) バケットのバージョニングが有効になっているかどうかを検出する)
- データ所在地保護を強化するガードレール
Disallow Changes to Encryption Configuration for Amazon S3 Buckets (Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない) [Previously: Enable Encryption at Rest for Log Archive (以前: ログアーカイブの保管時に暗号化を有効にする)]
このガードレールにより、すべての Simple Storage Service (Amazon S3) バケットの暗号化の変更が禁止されます。これは、選択的ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、次のサービスコントロールポリシー (SCP、Service Control Policy) です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETENCRYPTIONENABLED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Logging Configuration for Amazon S3 Buckets (Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない) [Previously: Enable Access Logging for Log Archive (以前: ログアーカイブのアクセスログを有効にする)]
このガードレールにより、すべての Simple Storage Service (Amazon S3) バケットのログ設定の変更が禁止されます。これは、選択的ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETLOGGINGENABLED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Bucket Policy for Amazon S3 Buckets (Amazon S3 バケットのバケットポリシーへの変更を不許可にする) [Previously: Disallow Policy Changes to Log Archive (以前: ログアーカイブのポリシーへの変更を不許可にする)]
このガードレールにより、すべての Simple Storage Service (Amazon S3) バケットのバケットポリシーの変更が禁止されます。これは、選択的ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Lifecycle Configuration for Amazon S3 Buckets (Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない) [Previously: Set a Retention Policy for Log Archive (以前: ログアーカイブの保持ポリシーを設定する)]
このガードレールにより、すべての Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更が禁止されます。これは、選択的ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETRETENTIONPOLICY", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Replication Configuration for Amazon S3 Buckets (Simple Storage Service (Amazon S3) バケットのレプリケーション設定の変更を許可しない)
Simple Storage Service (Amazon S3) バケットでリージョン内またはリージョン間のレプリケーションを処理するように設定された方法を変更できないようにします。例えば、単一リージョンレプリケーションでバケットを設定して、Simple Storage Service (Amazon S3) データの場所を 1 つの AWS リージョンに制限する (これにより、他の AWS リージョンへのバケット間のオブジェクトの自動非同期コピーを無効にする) 場合、このガードレールは、レプリケーション設定が変更されないようにします。これは、選択的ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION", "Effect": "Deny", "Action": [ "s3:PutReplicationConfiguration" ], "Resource": [ "*" ] } ] }
Disallow Delete Actions on Amazon S3 Buckets Without MFA (MFA を使用しない Simple Storage Service (Amazon S3) バケットでの削除アクションを許可しない)
削除アクションに MFA を必須とすることで、Simple Storage Service (Amazon S3) バケットを保護します。MFA では、ユーザー名とパスワードの成功後に追加の認証コードが必要になります。これは、選択的ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3DELETEWITHOUTMFA", "Effect": "Deny", "Action": [ "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": [ "false" ] } } } ] }
Detect Whether MFA is Enabled for AWS IAM Users ( IAM ユーザーに対して MFA が有効になっているかどうかを検出する)
このガードレールにより、AWS IAM ユーザーに対して MFA が有効になっているかどうかが検出されます。アカウントのすべての AWS IAM ユーザーに MFA を必須とすることで、アカウントを保護できます。MFA では、ユーザー名とパスワードの成功後に追加の認証コードが必要になります。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる検出ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、以下の AWS Config ルールです。
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether the IAM users have MFA enabled Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency
Detect Whether MFA is Enabled for AWS IAM Users of the AWS Console ( コンソールの IAM ユーザーに対して MFA が有効になっているかどうかを検出する)
コンソールのすべての AWS IAM ユーザーに MFA を必須とすることで、アカウントを保護します。MFA では、ユーザー名とパスワードが成功した後に、さらに認証コードが必要になるため、セキュリティ的に弱い認証から生じる脆弱性のリスクが軽減されます。このガードレールにより、MFA が有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる検出ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、以下の AWS Config ルールです。
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserConsoleMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency
Detect Whether Versioning for Amazon S3 Buckets is Enabled (Simple Storage Service (Amazon S3) バケットのバージョニングが有効になっているかどうかを検出する)
Simple Storage Service (Amazon S3) バケットでバージョニングが有効になっているかどうかが検出されます。バージョニングにより、誤って削除または上書きしたオブジェクトを復旧できます。このガードレールにより、アカウントのステータスは変更されません。これは、選択的ガイダンスによる検出ガードレールです。デフォルトでは、このガードレールは有効になっていません。
このガードレールのアーティファクトは、以下の AWS Config ルールです。
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3VersioningEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether versioning is enabled for your S3 buckets. Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Scope: ComplianceResourceTypes: - AWS::S3::Bucket