ガードレールリファレンス - AWS Control Tower

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

ガードレールリファレンス

次のセクションには、AWS Control Tower で利用可能な各ガードレールのリファレンスが含まれています。各ガードレールリファレンスには、Landing Zone の OU で特定のガードレールを有効にする場合の詳細、アーティファクト、追加情報、考慮事項が含まれています。

2 つの必須のガードレールが発見的であり、他のガードレールは予防的です。

  • Disallow Public Read Access to Log Archive (ログアーカイブへのパブリック読み取りアクセスを禁止する)

  • Disallow Public Write Access to Log Archive (ログアーカイブへのパブリック書き込みアクセスを禁止する)

注記

での 4 つの必須のガードレール"Sid": "GRCLOUDTRAILENABLED"は、設計上同じです。サンプルコードが正しい。

2 つの強く推奨されるガードレールは予防的で、他のガードレールは発見的です。デフォルトでは、これらのガードレールは有効になっていません。

  • Disallow Creation of Access Keys for the Root User (root ユーザーのアクセスキーの作成を禁止する)

  • root ユーザーとしてのアクションを禁止する

2 つの選択的ガードレールは予防的であり、その他のガードレールは発見的です。デフォルトでは、これらのガードレールは有効になっていません。

  • Disallow Cross-Region Replication for Amazon S3 Buckets (Amazon S3 バケットのクロスリージョンレプリケーションを禁止する)

  • Disallow Delete Actions on Amazon S3 Buckets Without MFA (MFA なしの Amazon S3 バケットの削除アクションを禁止する)