トラブルシューティング - AWS での自動化されたセキュリティ対応
PutS3BucketPolicyDeny が失敗するこのソリューションを無効にする方法

トラブルシューティング

既知の問題解決には、既知のエラーを軽減するための手順が記載されています。これらの手順で問題が解決しない場合は、「AWS サポートに問い合わせる」に、このソリューションに関する AWS サポートのケースを開く方法が記載されています。

PutS3BucketPolicyDeny が失敗する

関連コントロール: AWS FSBP v1.0.0 S3.6、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

問題: PutS3BucketPolicyDeny で次のエラーが表示されます。

Unable to create an explicit deny statement for {bucket_name}.

ターゲットバケットのすべてのポリシーのプリンシパルが「*」の場合、ソリューションはすべてのプリンシパルのすべてのバケットアクションをブロックするため、ターゲットバケットに拒否ポリシーを追加できません。

解決策: バケットポリシーを修正して、「*」プリンシパルを使用する代わりに特定のアカウントにアクションを許可し、拒否されたアクションを制限します。

このソリューションを無効にする方法

インシデントが発生した場合、インフラストラクチャを削除せずにソリューションを無効にする必要がある場合があります。これらのシナリオでは、ソリューション内のさまざまなコンポーネントを無効にする方法を詳しく説明します。

シナリオ 1: 単一のコントロールに対する自動修復を無効にする。

  1. AWS CloudFormation コンソール で EventBridge に移動します。

  2. サイドバーにある [ルール] を選択します。

  3. デフォルトのイベントバスを選択して、無効にするコントロールを検索します。

  4. ルールを選択して、[無効化] ボタンを選択します。

シナリオ 2: すべてのコントロールに対する自動修復を無効にする。

  1. コンソール で EventBridge に移動します。

  2. サイドバーにある [ルール] を選択します。

  3. デフォルトのイベントバスを選択して、次のルールをすべて選択します。

  4. [無効化] ボタンを選択します。複数ページのルールでこれを行う必要がある場合があることに注意してください。

シナリオ 3: アカウントに対する手動修復を無効にする。

  1. コンソール で EventBridge に移動します。

  2. サイドバーにある [ルール] を選択します。

  3. デフォルトのイベントバスを選択して、「Remediate_with_SHARR_CustomAction」を検索します。

  4. ルールを選択して、[無効化] ボタンを選択します。