概念と定義

このセクションでは、主要な概念について説明し、このソリューション固有の用語を定義します。

修復、修復ランブック

検出結果を解決するための一連の手順の実施。例えば、Security Control (SC) Lambda.1 「Lambda 関数ポリシーはパブリックアクセスを禁止する必要があります」というコントロールの修復では、関連する AWS Lambda 関数のポリシーが修正され、パブリックアクセスを許可するステートメントが削除されます。

コントロールランブック

オーケストレータが特定の統制に対して開始された修復を正しい修正ランブックにルーティングするために使用する一連の AWS Systems Manager (SSM) オートメーションドキュメントの 1 つ。例えば、SC の Lambda.1 と AWS の基本的なセキュリティのベストプラクティス (FSBP) の Lambda.1 の修復は、同じ修復ランブックを使用して実装されます。オーケストレータは、各コントロールのコントロールランブックを起動します。コントロールランブックには、それぞれ ASR-AFSBP_Lambda.1 と ASR-SC_2.0.0_Lambda.1 という名前が付けられています。各コントロールのランブックは同じ修復ランブック (この場合は ASR-RemoveLambdaPublicAccess) を起動します。

オーケストレーター

ソリューションによってデプロイされた Step Functions は、AWS Security Hub から検出されたオブジェクトを入力として受け取り、ターゲットアカウントとリージョンで正しいコントロールランブックを起動します。また、オーケストレーターは、修復が開始されたときと修復が成功または失敗したときに、ソリューションの SNS トピックに通知します。

規格

コンプライアンスフレームワークの一部として組織によって定義されるコントロールのグループ。例えば、AWS Security Hub とこのソリューションでサポートされている基準の 1 つが AWS FSBP です。

コントロール

準拠するためにリソースに必要な、または持ってはいけないプロパティの説明。例えば、AWS FSBP Lambda.1というコントロールでは、AWS Lambda 関数はパブリックアクセスを禁止すべきであると記載されています。パブリックアクセスを許可する関数はこのコントロールに失敗します。

統合されたコントロールの検出結果、セキュリティコントロール、セキュリティコントロールビュー

AWS Security Hub の機能の 1 つで、有効にすると、特定の標準に対応する ID ではなく、統合されたコントロール ID で検出結果が表示されます。例えば、AWS FSBP S3.2、CIS v1.2.0 2.3、CIS v1.4.0 2.1.5.2、PCI-DSS v3.2.1 S3.1 のコントロールはすべて、統合 (SC) コントロール S3.2 「S3 バケットはパブリック読み取りアクセスを禁止する必要があります」にマッピングされます。この機能を有効にすると、SC ランブックが使用されます。

[ソリューションのウェブ UI] 委任管理者

ソリューションのウェブ UI のコンテキストにおいて、委任管理者とは、管理者によって招待され、修復を実行したり修復履歴を表示したりできるフルアクセスを持つユーザーです。このユーザーは、他のアカウントオペレーターユーザーを表示および管理することもできます。

[ソリューションのウェブ UI] アカウントオペレーター

ソリューションのウェブ UI のコンテキストにおいて、アカウントオペレーターとは、管理者または委任管理者によってソリューションのウェブ UI にアクセスするために招待されたユーザーです。このユーザーは招待に記載されている AWS アカウント ID のリストに関連付けられており、これらのアカウント内のリソースに関連する修復の実行および修復履歴の表示のみできます。

AWS 用語の全般リファレンスについては、「AWS 用語集」を参照してください。