必須のガードレール - AWS Control Tower
ログアーカイブで AWS Control Tower が作成した S3 バケットの暗号化設定の変更を許可しないログアーカイブで AWS Control Tower が作成した S3 バケットのロギング設定の変更を許可しない ログアーカイブで AWS Control Tower が作成した S3 バケットのバケットポリシーの変更を許可しない ログアーカイブで AWS Control Tower が作成した S3 バケットのライフサイクル設定の変更を許可しないCloudWatch Logs ロググループの変更を禁止するAWS Config 集約認証の削除を禁止するログアーカイブの削除を禁止するDisallow Public Read Access to Log Archive (ログアーカイブへのパブリック読み取りアクセスを禁止する)Disallow Public Write Access to Log Archive (ログアーカイブへのパブリック書き込みアクセスを禁止する)CloudTrail の設定変更を許可しないCloudTrail イベントと CloudWatch Logs 統合利用可能なすべてのリージョンで CloudTrail を有効にするCloudTrail ログファイルの整合性検証を有効にするAWS Control Tower によって設定された CloudWatch の変更を許可しないAWS Control Tower によって設定された AWS Config 集約の変更を許可しないAWS Config の設定の変更を許可しない利用可能なすべてのリージョンで AWS Config を有効にするAWS Control Tower によって設定された AWS Config ルールの変更を許可しないAWS Control Tower によって設定された IAM ロールの変更を許可しないAWS Control Tower によって設定された Lambda 関数の変更を許可しないAWS Control Tower によって設定された Amazon SNS の変更を許可しないAWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更を許可しない

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

必須のガードレール

必須ガードレールは、landing zone 設定時に既定で有効になっており、無効にすることはできません。以下に、AWS Control Tower で使用できる各必須ガードレールのリファレンスを示します。

トピック

注記

と4つの必須ガードレール"Sid": "GRCLOUDTRAILENABLED"仕様です。サンプルコードは正しいです。

ログアーカイブで AWS Control Tower が作成した S3 バケットの暗号化設定の変更を許可しない

このガードレールにより、AWS Control Tower がログアーカイブアカウントに作成した Amazon S3 バケットへの暗号化の変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、次のサービスコントロールポリシー (SCP) です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

ログアーカイブで AWS Control Tower が作成した S3 バケットのロギング設定の変更を許可しない

このガードレールは、AWS Control Tower がログアーカイブアカウントに作成した Amazon S3 バケットのロギング設定の変更を禁止します。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

ログアーカイブで AWS Control Tower が作成した S3 バケットのバケットポリシーの変更を許可しない

このガードレールにより、AWS Control Tower がログアーカイブアカウントに作成した Amazon S3 バケットのバケットポリシーの変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

ログアーカイブで AWS Control Tower が作成した S3 バケットのライフサイクル設定の変更を許可しない

このガードレールにより、AWS Control Tower がログアーカイブアカウントに作成した Amazon S3 バケットのライフサイクル設定の変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

CloudWatch Logs ロググループの変更を禁止する

このガードレールは、landing zone を設定するときに AWS Control Tower がログアーカイブアカウントに作成した CloudWatch Logs ロググループを変更できないようにします。また、顧客アカウントの保持ポリシーの変更も防止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

AWS Config 集約認証の削除を禁止する

このガードレールは、landing zone を設定するときに AWS Control Tower が監査アカウントに作成した AWS Config 集約認証を削除できないようにします。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

ログアーカイブの削除を禁止する

このガードレールは、AWS Control Tower によってログアーカイブアカウントに作成された Amazon S3 バケットを削除できないようにします。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはデフォルトで有効になっています。セキュリティOU

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Public Read Access to Log Archive (ログアーカイブへのパブリック読み取りアクセスを禁止する)

このガードレールにより、ログアーカイブ共有アカウントで Amazon S3 バケットへのパブリック読み取りアクセスが有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、必須のガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールはデフォルトで有効になっています。セキュリティOU

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Disallow Public Write Access to Log Archive (ログアーカイブへのパブリック書き込みアクセスを禁止する)

このガードレールにより、ログアーカイブ共有アカウントで Amazon S3 バケットへのパブリック書き込みアクセスが有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、必須のガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールはデフォルトで有効になっています。セキュリティOU

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

CloudTrail の設定変更を許可しない

このガードレールにより、landing zone で CloudTrail への設定変更が回避されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

CloudTrail イベントと CloudWatch Logs 統合

このガードレールにより、CloudTrail イベントを CloudWatch Logs ファイルに送信することで、アクティビティデータのリアルタイム分析が実行されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

利用可能なすべてのリージョンで CloudTrail を有効にする

このガードレールにより、利用可能なすべての AWS リージョンで CloudTrail が有効になります。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

CloudTrail ログファイルの整合性検証を有効にする

このガードレールにより、すべてのアカウントおよび OU で CloudTrail ログファイルの整合性の検証が有効になります。CloudTrail ログファイルを使用してアカウントアクティビティログの整合性が確保され、CloudTrail が Amazon S3 に書き込む各ログのハッシュが含まれるデジタル署名されたダイジェストファイルが作成されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された CloudWatch の変更を許可しない

このガードレールにより、ランディングゾーンの設定時に CloudWatch の変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された AWS Config 集約の変更を許可しない

このガードレールは、AWS Control Tower によって設定とコンプライアンスデータを収集するために AWS Config 集約設定を変更できないようにします。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }

AWS Config の設定の変更を許可しない

このガードレールにより、AWS Config の設定変更が禁止されます。これにより、AWS Config 設定の変更を禁止することで、AWS Config がリソース設定を一貫性のある形で記録できます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

利用可能なすべてのリージョンで AWS Config を有効にする

このガードレールにより、利用可能なすべての AWS リージョンで AWS Config が有効になります。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された AWS Config ルールの変更を許可しない

このガードレールにより、landing zone 設定時に AWS Control Tower によって実装された AWS Config ルールの変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

AWS Control Tower によって設定された IAM ロールの変更を許可しない

このガードレールにより、landing zone 設定時に AWS Control Tower によって作成された IAM ロールの変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

ガードレールの更新

必須のガードレール用の更新バージョンがリリースされましたAWS-GR_IAM_ROLE_CHANGE_PROHIBITED

このガードレールへの変更が必要です。これは、AWS Control Tower に登録されている OU のアカウントにはAWSControlTowerExecutionロールが有効になります。以前のバージョンのガードレールでは、このロールが作成されません。

AWS Control Tower は、既存のガードレールを更新して例外を追加し、AWS CloudFormation StackSets がAWSControlTowerExecutionロール。2番目の対策として、この新しいガードレールはStackSetのロールを使用して、子アカウントのプリンシパルにアクセスできないようにします。

新しいガードレールバージョンでは、以前のバージョンで提供されたすべてのアクションに加えて、次のアクションが実行されます。

  • 許可されたstacksets-exec-*ロール(AWS CloudFormation が所有する)を使用して、AWS Control Tower によって作成された IAM ロールに対してアクションを実行できます。

  • 子アカウントの IAM ロールの変更を防止します。IAM ロール名がパターンに一致します。stacksets-exec-*

ガードレールバージョンの更新は、OU とアカウントに次のように影響します。

  • OU にガバナンスを拡張すると、その着信 OU は、登録プロセスの一環として、ガードレールの更新バージョンを受信します。この OU の最新バージョンを取得するために、landing zone を更新する必要はありません。AWS Control Tower は、登録する OU に最新バージョンを自動的に適用します。

  • このリリース後いつでもlanding zone を更新または修復すると、今後のプロビジョニングに備えて、ガードレールはこのバージョンに更新されます。

  • このリリース日より前に AWS Control Tower で作成された、または AWS Control Tower に登録された OU で、リリース日以降に修復または更新されていないlanding zone の一部である OU は、引き続き旧バージョンのガードレールで動作します。これにより、AWSControlTowerExecutionロール。

  • このガードレールの更新の結果の 1 つは、OU がガードレールの異なるバージョンで動作できることです。landing zone を更新して、更新されたバージョンのガードレールを OU に均一に適用します。

更新されたガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }

このガードレールの元アーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された Lambda 関数の変更を許可しない

このガードレールにより、AWS Control Tower によって設定された Lambda 関数の変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された Amazon SNS の変更を許可しない

このガードレールにより、AWS Control Tower によって設定された Amazon SNS への変更が禁止されます。これにより、landing zone の Amazon SNS 通知設定の整合性が保護されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更を許可しない

このガードレールにより、AWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更が禁止されます。これにより、landing zone の Amazon SNS サブスクリプション設定の整合性が保護されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }