必須のガードレール - AWS Control Tower
Disallow Changes to Encryption Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない)Disallow Changes to Logging Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない) Disallow Changes to Bucket Policy for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのバケットポリシーの変更を許可しない) Disallow Changes to Lifecycle Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない)Disallow Changes to Amazon CloudWatch Logs Log Groups set up by AWS Control Tower (AWS Control Tower によって設定された Amazon CloudWatch Logs ロググループへの変更を不許可にする)Disallow Deletion of AWS Config Aggregation Authorizations Created by AWS Control Tower (AWS Control Tower が作成した AWS Config 集約認証の削除を許可しない)Disallow Deletion of Log Archive (ログアーカイブの削除を禁止する)Detect Public Read Access Setting for Log Archive (ログアーカイブのパブリック読み取りアクセス設定を検出する)Detect Public Write Access Setting for Log Archive (ログアーカイブのパブリック書き込みアクセス設定を検出する)Disallow Configuration Changes to CloudTrail (CloudTrail への設定変更を不許可にする)Integrate CloudTrail Events with Amazon CloudWatch Logs (CloudTrail イベントを Amazon CloudWatch Logs と統合する)Enable CloudTrail in All Available Regions (利用可能なすべてのリージョンで CloudTrail を有効にする)Enable Integrity Validation for CloudTrail Log File (CloudTrail のログファイルの整合性検証を有効にする)Disallow Changes to Amazon CloudWatch Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon CloudWatch への変更を不許可にする)Disallow Changes to Tags Created by AWS Control Tower for AWS Config Resources (AWS Control Tower が作成した、AWS Config リソースのタグの変更を許可しない)Disallow Configuration Changes to AWS Config (AWS Config への設定変更を不許可にする)Enable AWS Config in All Available Regions (利用可能なすべてのリージョンで AWS Config を有効にする)Disallow Changes to AWS Config Rules Set Up by AWS Control Tower (AWS Control Tower によって設定された AWS Config Rules への変更を不許可にする)Disallow Changes to AWS IAM Roles Set Up by AWS Control Tower and AWS CloudFormation (AWS Control Tower と AWS CloudFormation によって設定された AWS IAM ロールへの変更を不許可にする)Disallow Changes to AWS Lambda Functions Set Up by AWS Control Tower (AWS Control Tower によって設定された AWS Lambda 関数への変更を不許可にする)Disallow Changes to Amazon SNS Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon SNS への変更を不許可にする)Disallow Changes to Amazon SNS Subscriptions Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更を不許可にする)

必須のガードレール

ランディングゾーンを設定すると、必須のガードレールがデフォルトで有効になっており、無効にすることはできません。以下に、AWS Control Tower で使用できる各必須ガードレールのリファレンスを示します。

トピック

注記

"Sid": "GRCLOUDTRAILENABLED" が指定されている 4 つの必須ガードレールは、意図的に同一になっています。サンプルコードは正しいです。

Disallow Changes to Encryption Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない)

このガードレールにより、AWS Control Tower がログアーカイブアカウントに作成する Simple Storage Service (Amazon S3) バケットの暗号化を変更できないようにします。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは [Security] (セキュリティ) OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、次のサービスコントロールポリシー (SCP、Service Control Policy) です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to Logging Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない)

このガードレールにより、AWS Control Tower がログアーカイブアカウントに作成する Simple Storage Service (Amazon S3) バケットのログ設定を変更できないようにします。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは [Security] (セキュリティ) OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to Bucket Policy for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのバケットポリシーの変更を許可しない)

このガードレールにより、AWS Control Tower がログアーカイブアカウントに作成する Simple Storage Service (Amazon S3) バケットのバケットポリシーを変更できないようにします。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは [Security] (セキュリティ) OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to Lifecycle Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない)

このガードレールにより、AWS Control Tower がログアーカイブアカウントに作成する Simple Storage Service (Amazon S3) バケットのライフサイクル設定を変更できないようにします。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは [Security] (セキュリティ) OU で有効になっています。追加の OU で有効にすることはできません。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to Amazon CloudWatch Logs Log Groups set up by AWS Control Tower (AWS Control Tower によって設定された Amazon CloudWatch Logs ロググループへの変更を不許可にする)

このガードレールは、ランディングゾーンの設定時に AWS Control Tower がログアーカイブアカウントに作成した Amazon CloudWatch Logs ロググループの保持ポリシーを変更できないようにします。また、顧客アカウントのログ保持ポリシーの変更もできません。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Disallow Deletion of AWS Config Aggregation Authorizations Created by AWS Control Tower (AWS Control Tower が作成した AWS Config 集約認証の削除を許可しない)

このガードレールは、ランディングゾーンの設定時に AWS Control Tower が監査アカウントに作成した AWS Config 集約認証を削除できないようにします。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

Disallow Deletion of Log Archive (ログアーカイブの削除を禁止する)

このガードレールは、AWS Control Tower によってログアーカイブアカウントに作成された Simple Storage Service (Amazon S3) バケットを削除できないようにします。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールは [Security] (セキュリティ) OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Detect Public Read Access Setting for Log Archive (ログアーカイブのパブリック読み取りアクセス設定を検出する)

このガードレールにより、ログアーカイブ共有アカウントで Simple Storage Service (Amazon S3) バケットへのパブリック読み取りアクセスが有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、必須のガイダンスによる検出ガードレールです。デフォルトでは、このガードレールは [Security] (セキュリティ) OU で有効になっています。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Detect Public Write Access Setting for Log Archive (ログアーカイブのパブリック書き込みアクセス設定を検出する)

このガードレールにより、ログアーカイブ共有アカウントで Simple Storage Service (Amazon S3) バケットへのパブリック書き込みアクセスが有効になっているかどうかが検出されます。このガードレールにより、アカウントのステータスは変更されません。これは、必須のガイダンスによる検出ガードレールです。デフォルトでは、このガードレールは [Security] (セキュリティ) OU で有効になっています。

このガードレールのアーティファクトは、以下の AWS Config ルールです。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Disallow Configuration Changes to CloudTrail (CloudTrail への設定変更を不許可にする)

このガードレールにより、ランディングゾーンで CloudTrail の設定変更が回避されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Integrate CloudTrail Events with Amazon CloudWatch Logs (CloudTrail イベントを Amazon CloudWatch Logs と統合する)

このガードレールにより、CloudTrail イベントを CloudWatch Logs ログファイルに送信してアクティビティデータのリアルタイム分析が実行されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Enable CloudTrail in All Available Regions (利用可能なすべてのリージョンで CloudTrail を有効にする)

このガードレールにより、利用可能なすべての AWS リージョンで CloudTrail が有効になります。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Enable Integrity Validation for CloudTrail Log File (CloudTrail のログファイルの整合性検証を有効にする)

このガードレールにより、すべてのアカウントおよび OU で CloudTrail ログファイルの整合性の検証が有効になります。それにより、CloudTrail ログファイル検証を使用してアカウントアクティビティログの整合性が確保され、CloudTrail が Simple Storage Service (Amazon S3) に書き込む各ログのハッシュが含まれるデジタル署名されたダイジェストファイルが作成されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to Amazon CloudWatch Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon CloudWatch への変更を不許可にする)

このガードレールにより、ランディングゾーンの設定時に AWS Control Tower によって設定された Amazon CloudWatch の変更が禁止されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to Tags Created by AWS Control Tower for AWS Config Resources (AWS Control Tower が作成した、AWS Config リソースのタグの変更を許可しない)

このガードレールは、ランディングゾーンの設定時に AWS Control Tower が作成した、設定およびコンプライアンスデータを収集する AWS Config リソースのタグを変更できないようにします。これにより、AWS Control Tower によってタグ付けされた集約認証に対する TagResource 操作および UntagResource 操作が拒否されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }

Disallow Configuration Changes to AWS Config (AWS Config への設定変更を不許可にする)

このガードレールにより、AWS Config の設定変更が回避されます。これにより、AWS Config の設定変更を不許可にすることで、AWS Config レコードのリソース設定が一貫性のある形で確保されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Enable AWS Config in All Available Regions (利用可能なすべてのリージョンで AWS Config を有効にする)

このガードレールにより、利用可能なすべての AWS リージョンで AWS Config が有効になります。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to AWS Config Rules Set Up by AWS Control Tower (AWS Control Tower によって設定された AWS Config Rules への変更を不許可にする)

このガードレールにより、ランディングゾーンの設定時に AWS Control Tower よって実装された AWS Config Rules の変更が禁止されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

Disallow Changes to AWS IAM Roles Set Up by AWS Control Tower and AWS CloudFormation (AWS Control Tower と AWS CloudFormation によって設定された AWS IAM ロールへの変更を不許可にする)

このガードレールにより、ランディングゾーンの設定時に AWS Control Tower が作成した AWS IAM ロールの変更が禁止されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

ガードレールの更新

必須ガードレール AWS-GR_IAM_ROLE_CHANGE_PROHIBITED の更新バージョンがリリースされました。

AWS Control Tower に登録される OU のアカウントは AWSControlTowerExecution ロールを有効にする必要があるため、ガードレールのこの変更が必要になります。ガードレールの以前のバージョンでは、このロールは作成されません。

AWS CloudFormation StackSets が AWSControlTowerExecution ロールを作成できるように、AWS Control Tower は既存のガードレールを更新して、例外を追加しました。もう 1 つの処置として、この新しいガードレールは、子アカウントのプリンシパルがアクセスできないように、StackSet ロールを保護します。

新しいガードレールバージョンでは、以前のバージョンで提供されたすべてのアクションに加えて、次のアクションが実行されます。

  • stacksets-exec-* ロール (AWS CloudFormation が所有) を許可して、AWS Control Tower で作成された IAM ロールに対してアクションを実行します。

  • IAM ロール名がパターン stacksets-exec-* と一致する、子アカウントの IAM ロールに対する変更を防止します。

ガードレールのバージョンの更新は、以下のように OU とアカウントに影響します。

  • ガバナンスを OU に拡張すると、その受信 OU は登録プロセスの一環としてガードレールの更新バージョンを受け取ります。この OU の最新バージョンを取得するためにランディングゾーンを更新する必要はありません。AWS Control Tower は、登録する OU に最新バージョンを自動的に適用します。

  • このリリース後に随時ランディングゾーンを更新または修復すると、今後のプロビジョニングのためにガードレールがこのバージョンに更新されます。

  • このリリース日より前に AWS Control Tower で作成された、または AWS Control Tower に登録された OU で、リリース日の後に修復または更新されていないランディングゾーンの一部である OU は、古いバージョンのガードレールで引き続き運用され、AWSControlTowerExecution ロールの作成をブロックします。

  • このガードレールの更新の 1 つの結果は、OU が異なるバージョンのガードレールで機能できることです。ランディングゾーンを更新して、更新されたバージョンのガードレールを OU に一様に適用します。

更新されたガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }

このガードレールの以前のアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to AWS Lambda Functions Set Up by AWS Control Tower (AWS Control Tower によって設定された AWS Lambda 関数への変更を不許可にする)

このガードレールにより、AWS Control Tower によって設定された AWS Lambda 関数の変更が禁止されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to Amazon SNS Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon SNS への変更を不許可にする)

このガードレールにより、AWS Control Tower によって設定された Amazon SNS の変更が禁止されます。それにより、ランディングゾーンの Amazon SNS 通知設定の整合性が保護されます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Disallow Changes to Amazon SNS Subscriptions Set Up by AWS Control Tower (AWS Control Tower によって設定された Amazon SNS サブスクリプションへの変更を不許可にする)

このガードレールにより、AWS Control Tower によって設定された Amazon SNS サブスクリプションの変更が禁止されます。これにより、ランディングゾーンの Amazon SNS サブスクリプション設定の整合性が保護され、AWS Config Rules コンプライアンスの変更の通知がトリガーされます。これは、必須ガイダンスによる予防ガードレールです。デフォルトでは、このガードレールはすべての OU で有効になっています。

このガードレールのアーティファクトは、以下の SCP です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }