ガードレールリファレンス - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ガードレールリファレンス

以下のセクションでは、AWS Control Tower で使用できる各ガードレールのリファレンスを示します。各ガードレールリファレンスには、詳細、アーティファクト、追加情報、およびlanding zone の OU で特定のガードレールを有効にする場合の考慮事項が含まれています。

2つの必須ガードレールは探偵であり、他のガードレールは予防的です。

  • ログアーカイブの公開読み取りアクセス設定の検出

  • ログアーカイブのパブリック書き込みアクセス設定の検出

注記

と4つの必須ガードレール"Sid": "GRCLOUDTRAILENABLED"仕様は同じです。サンプルコードは正しいです。

2つの強く推奨されるガードレールは予防的であり、他のガードレールは探偵です。デフォルトでは、これらのガードレールは有効になっていません。

  • Disallow Creation of Access Keys for the Root User (root ユーザーのアクセスキーの作成を禁止する)

  • root ユーザーとしてのアクションを禁止する

6つの選択ガードレールは予防的で、他のガードレールは探偵です。デフォルトでは、これらのガードレールは有効になっていません。

  • Amazon S3 バケットのレプリケーション設定の変更を許可しない

  • MFA なしの Amazon S3 バケットでの削除アクションを許可しない

  • Amazon S3 バケットの暗号化設定の変更を許可しない [以前の: Enable Encryption for Log Archive (

  • Amazon S3 バケットのロギング設定の変更を許可しない [以前のバージョン: Enable Access Logging for Log Archive

  • Amazon S3 バケットのバケットポリシーの変更を許可しない [以前の: Log Archive (ログアーカイブのポリシー変更を禁止する)

  • Amazon S3 バケットのライフサイクル設定の変更を許可しない [以前の: Log Archive の保持ポリシーを設定する]