完全に自動化された修復を有効にする
このソリューションのもう 1 つの運用方法は、検出結果が Security Hub に到着したら自動的に修復することです。
この検出結果を誤って適用する可能性のあるリソースがないことを確認する
自動修復を有効にすると、有効にしたコントロール (Lambda.1) と一致するすべてのリソースで修復が開始されます。
重要
ソリューションの範囲内のすべてのパブリック Lambda 関数に対してこのアクセス許可を取り消せることを確認してください。完全に自動化された修復は、作成した関数の範囲に限定されません。このコントロールがインストールされているアカウントとリージョンのいずれかで検出された場合、ソリューションはこのコントロールを修正します。
| アカウント | 目的 | us-east-1 でのアクション | us-west-2 でのアクション |
|---|---|---|---|
111111111111 |
管理者 |
必要なパブリック関数がないことを確認する | 必要なパブリック関数がないことを確認する |
222222222222 |
メンバー |
必要なパブリック関数がないことを確認する | 必要なパブリック関数がないことを確認する |
ルールを有効にする
管理者アカウントで、SC_2.0.0_Lambda.1_AutoTrigger という名前の EventBridge ルールを見つけて有効にします。
| アカウント | 目的 | us-east-1 でのアクション | us-west-2 でのアクション |
|---|---|---|---|
111111111111 |
管理者 |
自動修復ルールを有効にする | なし |
222222222222 |
メンバー |
なし | なし |
リソースを設定する
メンバーアカウントで、パブリックアクセスを許可するように Lambda 関数を再設定します。
| アカウント | 目的 | us-east-1 でのアクション | us-west-2 でのアクション |
|---|---|---|---|
111111111111 |
管理者 |
なし | なし |
222222222222 |
メンバー |
なし | Lambda 関数がパブリックアクセスを許可できるように設定する |
修復によって検出結果が解決したことを確認する
Config が安全ではない設定を再度検出するまでにはしばらく時間がかかる場合があります。2 つの SNS 通知を受け取るはずです。1 つ目は、修復が開始されたことを示します。2 つ目は、修復が成功したことを示します。2 回目の通知を受け取ったら、メンバーアカウントの Lambda コンソールに移動し、パブリックアクセスが取り消されたことを確認します。
| アカウント | 目的 | us-east-1 でのアクション | us-west-2 でのアクション |
|---|---|---|---|
111111111111 |
管理者 |
自動修復ルールを有効にする | なし |
222222222222 |
メンバー |
なし | 修復が成功したことを確認する |
