無効にする可能性のある AWS Foundational Best Practices コントロール

AWS Config のコストを節約するために、1 つのリージョンを除くすべてのグローバルリソースの記録を無効にすることができます。これを行った後、Security Hub は引き続きコントロールが有効になっているすべてのリージョンでセキュリティチェックを実行し、リージョンごとにアカウントごとのチェック数に基づいて料金を請求します。したがって、Security Hub のコストを節約するには、グローバルリソースを記録するリージョン以外のすべてのリージョンで、グローバルリソースを処理する以下のコントロールを無効にします。

• [IAM.1] IAM ポリシーでは、完全な「*」管理権限を許可しないでください

• [IAM.2] IAM ユーザーには IAM ポリシーをアタッチしないでください

• [IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

• [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

• [IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

• [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

• [IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です

• [IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

• [IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

• [KMS.1] IAM カスタマーマネージドポリシーでは、すべての KMS キーの復号化と再暗号化アクションを許可してはいけません

• [KMS.2] IAM プリンシパルは、すべての KMS キーで復号化および再暗号化アクションを許可する IAM インラインポリシーを使用するべきではありません

これらのコントロールを無効にし、特定のリージョンにおけるグローバルリソースの記録を無効にする場合は、それらのリージョンで「[Config.1] AWS Config を有効にする必要があります」も無効にする必要があります。これは、[Config.1] AWS Config を有効にする必要がありますで、チェックに成功するためにはグローバルリソースを記録する必要があるためです。