必須コントロール
必須コントロールは AWS Control Tower によって所有され、ランディングゾーンのすべての OU に適用されます。これらのコントロールはランディングゾーンのセットアップ時にデフォルトで適用され、無効にすることはできません。以下に、AWS Control Tower で使用できる各必須コントロールのリファレンスを示します。
トピック
- Disallow Changes to Encryption Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない)
- Disallow Changes to Logging Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない)
- Disallow Changes to Bucket Policy for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのバケットポリシーの変更を許可しない)
- Disallow Changes to Lifecycle Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない)
- Disallow Changes to Amazon CloudWatch Logs Log Groups set up by AWS Control Tower (AWS Control Tower によって設定された Amazon CloudWatch Logs ロググループへの変更を不許可にする)
- Disallow Deletion of AWS Config Aggregation Authorizations Created by AWS Control Tower (AWS Control Tower が作成した AWS Config 集約認証の削除を許可しない)
- Disallow Deletion of Log Archive (ログアーカイブの削除を禁止する)
- Detect Public Read Access Setting for Log Archive (ログアーカイブのパブリック読み取りアクセス設定を検出する)
- Detect Public Write Access Setting for Log Archive (ログアーカイブのパブリック書き込みアクセス設定を検出する)
- Disallow Configuration Changes to CloudTrail (CloudTrail への設定変更を不許可にする)
- Integrate CloudTrail Events with Amazon CloudWatch Logs (CloudTrail イベントを Amazon CloudWatch Logs と統合する)
- Enable CloudTrail in All Available Regions (利用可能なすべてのリージョンで CloudTrail を有効にする)
- Enable Integrity Validation for CloudTrail Log File (CloudTrail のログファイルの整合性検証を有効にする)
- Disallow Changes to Amazon CloudWatch Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon CloudWatch への変更を不許可にする)
- Disallow Changes to Tags Created by AWS Control Tower for AWS Config Resources (AWS Control Tower が作成した リソースのタグの変更を許可しない)
- AWS Config への設定変更を許可しない
- 使用可能なすべてのリージョンで AWS Config を有効にする
- AWS Control Tower によって設定された AWS Config ルール への変更を許可しない
- Disallow Changes to AWS IAM Roles Set Up by AWS Control Tower and AWS CloudFormation (AWS Control Tower と AWS CloudFormation によって設定された AWS IAM ロールへの変更を不許可にする)
- AWS Control Tower によって設定された AWS Lambda 関数の変更を許可しない
- Disallow Changes to Amazon SNS Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon SNS への変更を不許可にする)
- Disallow Changes to Amazon SNS Subscriptions Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更を不許可にする)
- セキュリティ組織単位の共有アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出する
注記
"Sid": "GRCLOUDTRAILENABLED" が指定されている 4 つの必須コントロールは、意図的に同一になっています。サンプルコードは正しいです。
Disallow Changes to Encryption Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない)
このコントロールは、AWS Control Tower がログアーカイブアカウントに作成する Amazon S3 バケットの暗号化を変更できないようにします。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。
このコントロールのアーティファクトは、次のサービスコントロールポリシー (SCP) です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Logging Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない)
このコントロールは、AWS Control Tower がログアーカイブアカウントに作成する Amazon S3 バケットのログ設定を変更できないようにします。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Bucket Policy for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのバケットポリシーの変更を許可しない)
このコントロールは、AWS Control Tower がログアーカイブアカウントに作成する Amazon S3 バケットのバケットポリシーを変更できないようにします。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Lifecycle Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない)
このコントロールは、AWS Control Tower がログアーカイブアカウントに作成する Amazon S3 バケットのライフサイクル設定を変更できないようにします。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Amazon CloudWatch Logs Log Groups set up by AWS Control Tower (AWS Control Tower によって設定された Amazon CloudWatch Logs ロググループへの変更を不許可にする)
このコントロールは、ランディングゾーンの設定時に AWS Control Tower がログアーカイブアカウントに作成した Amazon CloudWatch Logs ロググループの保持ポリシーを変更できないようにします。また、顧客アカウントのログ保持ポリシーの変更もできません。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }
Disallow Deletion of AWS Config Aggregation Authorizations Created by AWS Control Tower (AWS Control Tower が作成した AWS Config 集約認証の削除を許可しない)
このコントロールは、ランディングゾーンの設定時に AWS Control Tower が監査アカウントに作成した AWS Config 集約承認を削除できないようにします。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }
Disallow Deletion of Log Archive (ログアーカイブの削除を禁止する)
このコントロールは、AWS Control Tower によってログアーカイブアカウントに作成された Amazon S3 バケットを削除できないようにします。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールは [Security] (セキュリティ) OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Detect Public Read Access Setting for Log Archive (ログアーカイブのパブリック読み取りアクセス設定を検出する)
このコントロールは、ログアーカイブ共有アカウントの Amazon S3 バケットへのパブリック読み取りアクセスが有効になっているかどうかを検出します。このコントロールは、アカウントのステータスを変更しません。これは、必須ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは [Security] (セキュリティ) OU で有効になっています。
このコントロールのアーティファクトは、以下の AWS Config ルールです。
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket
Detect Public Write Access Setting for Log Archive (ログアーカイブのパブリック書き込みアクセス設定を検出する)
このコントロールは、ログアーカイブ共有アカウントの Amazon S3 バケットへのパブリック書き込みアクセスが有効になっているかどうかを検出します。このコントロールは、アカウントのステータスを変更しません。これは、必須ガイダンスによる検出コントロールです。デフォルトでは、このコントロールは [Security] (セキュリティ) OU で有効になっています。
このコントロールのアーティファクトは、以下の AWS Config ルールです。
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket
Disallow Configuration Changes to CloudTrail (CloudTrail への設定変更を不許可にする)
このコントロールは、ランディングゾーンでの CloudTrail の設定変更を防止します。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Integrate CloudTrail Events with Amazon CloudWatch Logs (CloudTrail イベントを Amazon CloudWatch Logs と統合する)
このコントロールは、CloudTrail イベントを CloudWatch Logs ログファイルに送信して、アクティビティデータのリアルタイム分析を実行します。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Enable CloudTrail in All Available Regions (利用可能なすべてのリージョンで CloudTrail を有効にする)
このコントロールは、使用可能なすべての AWS リージョン で CloudTrail を有効にします。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Enable Integrity Validation for CloudTrail Log File (CloudTrail のログファイルの整合性検証を有効にする)
このコントロールは、すべてのアカウントと OU で CloudTrail ログファイルの整合性検証を有効にします。それにより、CloudTrail ログファイル検証を使用してアカウントアクティビティログの整合性が確保され、CloudTrail が Simple Storage Service (Amazon S3) に書き込む各ログのハッシュが含まれるデジタル署名されたダイジェストファイルが作成されます。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Amazon CloudWatch Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon CloudWatch への変更を不許可にする)
このコントロールは、ランディングゾーンの設定時に AWS Control Tower によって設定された Amazon CloudWatch の変更を禁止します。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Tags Created by AWS Control Tower for AWS Config Resources (AWS Control Tower が作成した リソースのタグの変更を許可しない)
このコントロールは、ランディングゾーンの設定時に AWS Control Tower が作成した、設定およびコンプライアンスデータを収集する AWS Config リソースについて、タグを変更できないようにします。これにより、AWS Control Tower によってタグ付けされた集約認証に対する TagResource 操作および UntagResource 操作が拒否されます。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }
AWS Config への設定変更を許可しない
このコントロールは、AWS Config の設定変更を防止します。これにより、AWS Config の設定変更を不許可にすることで、AWS Config レコードのリソース設定が一貫性のある形で確保されます。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
使用可能なすべてのリージョンで AWS Config を有効にする
このコントロールは、使用可能なすべての AWS リージョン で AWS Config を有効にします。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
AWS Control Tower によって設定された AWS Config ルール への変更を許可しない
このコントロールは、ランディングゾーンの設定時に AWS Control Tower によって実装された AWS Config ルール の変更を禁止します。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }
Disallow Changes to AWS IAM Roles Set Up by AWS Control Tower and AWS CloudFormation (AWS Control Tower と AWS CloudFormation によって設定された AWS IAM ロールへの変更を不許可にする)
このコントロールは、ランディングゾーンの設定時に AWS Control Tower が作成した AWS IAM ロールの変更を禁止します。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
コントロールの更新
必須コントロール AWS-GR_IAM_ROLE_CHANGE_PROHIBITED の更新バージョンがリリースされました。
AWS Control Tower に登録されている OU のアカウントは AWSControlTowerExecution ロールを有効にする必要があるため、コントロールのこの変更が必要になります。コントロールの以前のバージョンでは、このロールは作成されません。
AWS CloudFormation StackSets が AWSControlTowerExecution ロールを作成できるように、AWS Control Tower は既存のコントロールを更新して、例外を追加しました。もう 1 つの処置として、この新しいコントロールは、子アカウントのプリンシパルがアクセスできないように、StackSet ロールを保護します。
新しいコントロールバージョンでは、以前のバージョンで提供されたすべてのアクションに加えて、次のアクションが実行されます。
-
stacksets-exec-*ロール (AWS CloudFormation が所有) を許可して、AWS Control Tower で作成された IAM ロールに対してアクションを実行します。 -
IAM ロール名がパターン
stacksets-exec-*と一致する、子アカウントの IAM ロールに対する変更を防止します。
コントロールのバージョンの更新は、以下のように OU とアカウントに影響します。
-
ガバナンスを OU に拡張すると、その受信 OU は登録プロセスの一環としてコントロールの更新バージョンを受け取ります。この OU の最新バージョンを取得するためにランディングゾーンを更新する必要はありません。AWS Control Tower は、登録する OU に最新バージョンを自動的に適用します。
-
このリリース後に随時ランディングゾーンを更新または修復すると、今後のプロビジョニングのためにコントロールがこのバージョンに更新されます。
-
このリリース日より前に AWS Control Tower で作成または登録された OU で、リリース日の後に修復または更新されていないランディングゾーンの一部である OU は、古いバージョンのコントロールで引き続き運用され、
AWSControlTowerExecutionロールの作成をブロックします。 -
このコントロールの更新の 1 つの結果として、OU は異なるバージョンのコントロールで機能できます。ランディングゾーンを更新して、更新されたバージョンのコントロールを OU に一様に適用します。
更新されたコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }
このコントロールの以前のアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
AWS Control Tower によって設定された AWS Lambda 関数の変更を許可しない
このコントロールは、AWS Control Tower によって設定された AWS Lambda Lambda 関数の変更を禁止します。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Amazon SNS Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon SNS への変更を不許可にする)
このコントロールは、AWS Control Tower によって設定された Amazon SNS の変更を禁止します。それにより、ランディングゾーンの Amazon SNS 通知設定の整合性が保護されます。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
Disallow Changes to Amazon SNS Subscriptions Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更を不許可にする)
このコントロールは、AWS Control Tower によって設定された Amazon SNS サブスクリプションの変更を禁止します。これにより、ランディングゾーンの Amazon SNS サブスクリプション設定の整合性が保護され、AWS Config ルール コンプライアンスの変更の通知がトリガーされます。これは、必須ガイダンスによる予防コントロールです。デフォルトでは、このコントロールはすべての OU で有効になっています。
このコントロールのアーティファクトは、以下の SCP です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }
セキュリティ組織単位の共有アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出する
このコントロールは、セキュリティ組織単位の共有アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出します。CloudTrail または CloudTrail Lake が共有アカウントで有効でない場合、ルールは NON_COMPLIANT です。これは、必須のガイダンスによる検出コントロールです。デフォルトでは、このコントロールはセキュリティ OU で有効になっています。
このコントロールのアーティファクトは、以下の AWS Config ルールです。
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to detect whether an account has AWS CloudTrail or CloudTrail Lake enabled. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForCloudtrailEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an account has AWS CloudTrail or CloudTrail Lake enabled. The rule is NON_COMPLIANT if either CloudTrail or CloudTrail Lake is not enabled in an account. Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED
