必須のガードレール - AWS Control Tower
ログアーカイブに AWS Control Tower が作成した Amazon S3 バケットの暗号化設定の変更を許可しないログアーカイブに AWS Control Tower が作成した Amazon S3 バケットのロギング設定の変更を許可しない AWS Control Tower のバケットポリシーの変更を許可しないログアーカイブに Amazon S3 バケットを作成 ログアーカイブに AWS Control Tower が作成した Amazon S3 バケットのライフサイクル設定の変更を許可しないAWS Control Tower によって設定された Amazon CloudWatch Logs ロググループへの変更を許可しないAWS Control Tower によって作成された AWS Config 集約認証の削除を禁止するログアーカイブの削除を禁止するログアーカイブの公開読み取りアクセス設定の検出ログアーカイブのパブリック書き込みアクセス設定の検出CloudTrail の設定変更を許可しないCloudTrail イベントと Amazon CloudWatch Logs 統合利用可能なすべてのリージョンで CloudTrail を有効にするCloudTrail ログファイルの整合性検証を有効にするAWS Control Tower によって設定された Amazon CloudWatch の変更を許可しないAWS Control Tower によって作成されたタグの変更を許可しないAWS Configリソースへの設定変更を禁止するAWS Configの有効化AWS Config利用可能なすべてのリージョンへの変更を許可しないAWS Config RulesAWS Control Tower による設定AWS コントロールタワーと AWS CloudFormation によって設定された AWS IAM ロールの変更を許可しないAWS Control Tower で設定された AWS Lambda 関数の変更を許可しないAWS Control Tower によって設定された Amazon SNS の変更を許可しないAWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更を許可しない

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

必須のガードレール

必須ガードレールは、landing zone 設定時に既定で有効になっており、無効にすることはできません。以下に、AWS Control Tower で使用できる各必須ガードレールのリファレンスを示します。

トピック

注記

と4つの必須ガードレール"Sid": "GRCLOUDTRAILENABLED"仕様です。サンプルコードは正しいです。

ログアーカイブに AWS Control Tower が作成した Amazon S3 バケットの暗号化設定の変更を許可しない

このガードレールは、AWS Control Tower がログアーカイブアカウントに作成した Amazon S3 バケットの暗号化を変更できないようにします。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、次のサービスコントロールポリシー (SCP) です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

ログアーカイブに AWS Control Tower が作成した Amazon S3 バケットのロギング設定の変更を許可しない

このガードレールは、AWS Control Tower がログアーカイブアカウントに作成した Amazon S3 バケットのログ記録設定を変更できないようにします。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower のバケットポリシーの変更を許可しないログアーカイブに Amazon S3 バケットを作成

このガードレールは、AWS Control Tower がログアーカイブアカウントに作成した Amazon S3 バケットのバケットポリシーを変更できないようにします。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

ログアーカイブに AWS Control Tower が作成した Amazon S3 バケットのライフサイクル設定の変更を許可しない

このガードレールは、AWS Control Tower がログアーカイブアカウントに作成する Amazon S3 バケットのライフサイクル設定を変更できないようにします。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはセキュリティ OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された Amazon CloudWatch Logs ロググループへの変更を許可しない

このガードレールは、landing zone を設定するときに AWS Control Tower がログアーカイブアカウントに作成した Amazon CloudWatch Logs ロググループの保持ポリシーを変更できないようにします。また、顧客アカウントのログ保持ポリシーの変更も防止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

AWS Control Tower によって作成された AWS Config 集約認証の削除を禁止する

このガードレールにより、landing zone 設定時に AWS Control Tower が監査アカウントに作成した AWS Config 集約認証を削除できないようになります。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

ログアーカイブの削除を禁止する

このガードレールは、AWS Control Tower によってログアーカイブアカウントに作成された Amazon S3 バケットを削除できないようにします。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールは有効になっています。セキュリティOU

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

ログアーカイブの公開読み取りアクセス設定の検出

このガードレールにより、ログアーカイブ共有アカウントで Amazon S3 バケットへのパブリック読み取りアクセスが有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、必須のガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっています。セキュリティOU

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

ログアーカイブのパブリック書き込みアクセス設定の検出

このガードレールにより、ログアーカイブ共有アカウントで Amazon S3 バケットへのパブリック書き込みアクセスが有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、必須のガイダンスによる発見的ガードレールです。デフォルトでは、このガードレールは有効になっています。セキュリティOU

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

CloudTrail の設定変更を許可しない

このガードレールにより、landing zone で CloudTrail の設定変更が回避されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

CloudTrail イベントと Amazon CloudWatch Logs 統合

このガードレールにより、CloudTrail イベントを CloudWatch Logs ログファイルに送信して、アクティビティデータのリアルタイム分析が実行されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

利用可能なすべてのリージョンで CloudTrail を有効にする

このガードレールにより、利用可能なすべての AWS リージョンで CloudTrail が有効になります。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

CloudTrail ログファイルの整合性検証を有効にする

このガードレールにより、すべてのアカウントおよび OU で CloudTrail ログファイルの整合性の検証が有効になります。CloudTrail ログファイルを使用してアカウントアクティビティログの整合性が確保され、CloudTrail が Amazon S3 に書き込む各ログのハッシュが含まれるデジタル署名されたダイジェストファイルが作成されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された Amazon CloudWatch の変更を許可しない

このガードレールにより、ランディングゾーンの設定時に AWS Control Tower によって設定された Amazon CloudWatch の変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって作成されたタグの変更を許可しないAWS Configリソース

このガードレールは、landing zone 設定時に AWS Control Tower によって作成されたタグを変更できないようにします。AWS Configリソースで設定とコンプライアンスデータを収集します。それはいずれかを否定するTagResourceおよびUntagResourceオペレーションにより、AWS Control Tower によってタグ付けされた集約認証が使用されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }

への設定変更を禁止するAWS Config

このガードレールにより、設定がAWS Config。これにより、AWS Config の設定変更を許可することで、AWS Config レコードのリソース設定が一貫性のある形で確保されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

の有効化AWS Config利用可能なすべてのリージョン

このガードレールにより、利用可能なすべての AWS リージョンで AWS Config が有効になります。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

への変更を許可しないAWS Config RulesAWS Control Tower による設定

このガードレールにより、AWS Config Ruleslanding zone 設定時に AWS Control Tower によって実装された。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

AWS コントロールタワーと AWS CloudFormation によって設定された AWS IAM ロールの変更を許可しない

このガードレールにより、landing zone 設定時に AWS Control Tower が作成した AWS IAM ロールの変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

ガードレールの更新

必須のガードレール用の更新バージョンがリリースされましたAWS-GR_IAM_ROLE_CHANGE_PROHIBITED

このガードレールへの変更は、AWS Control Tower に登録されている OU 内のアカウントにAWSControlTowerExecutionロールが有効になります。以前のバージョンのガードレールでは、このロールが作成されません。

AWS Control Tower は既存のガードレールを更新して例外を追加し、AWS CloudFormationStackSets は、AWSControlTowerExecutionロール。2番目の対策として、この新しいガードレールはStackSetのロールを使用して、子アカウントのプリンシパルにアクセスできないようにします。

新しいガードレールバージョンでは、以前のバージョンで提供されたすべてのアクションに加えて、次のアクションが実行されます。

  • 許可します。stacksets-exec-*ロール (AWS CloudFormation) を使用して、AWS Control Tower によって作成された IAM ロールに対してアクションを実行できます。

  • IAM ロール名がパターンに一致する、子アカウントの IAM ロールの変更を防止します。stacksets-exec-*

ガードレールバージョンの更新は、OU とアカウントに次のように影響します。

  • OU にガバナンスを拡張すると、その着信 OU は、登録プロセスの一環として、ガードレールの更新バージョンを受信します。この OU の最新バージョンを取得するために、landing zone を更新する必要はありません。AWS Control Tower は、登録する OU に最新バージョンを自動的に適用します。

  • このリリース後いつでもlanding zone を更新または修復すると、今後のプロビジョニングに備えて、ガードレールはこのバージョンに更新されます。

  • このリリース日より前に AWS Control Tower で作成された、または AWS Control Tower に登録された OU で、リリース日以降に修復または更新されていないlanding zone の一部である OU は、引き続き旧バージョンのガードレールで動作します。これにより、AWSControlTowerExecutionロール。

  • このガードレールの更新の結果の 1 つは、OU がガードレールの異なるバージョンで動作できることです。landing zone を更新して、更新されたバージョンのガードレールを OU に均一に適用します。

更新されたガードレールのアーティファクトは、次の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }

このガードレールの元アーティファクトは、次の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower で設定された AWS Lambda 関数の変更を許可しない

このガードレールにより、AWS Control Tower によって設定された AWS Lambda 関数の変更が禁止されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された Amazon SNS の変更を許可しない

このガードレールにより、AWS Control Tower によって設定された Amazon SNS の変更が禁止されます。これにより、landing zone の Amazon SNS 通知設定の整合性が保護されます。これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更を許可しない

このガードレールにより、AWS Control Tower によって設定された Amazon SNS サブスクリプションの変更が禁止されます。これにより、landing zone の Amazon SNS サブスクリプション設定の整合性が保護され、AWS Config Rulesコンプライアンス変更 これは、必須のガイダンスによる予防的ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }