데이터 상주 보호를 강화하는 가드레일 - AWS Control Tower
비디오: 데이터 레지던시 가드레일 사용요청된 AWS 리전에 따라 AWS에 대한 액세스를 거부고객이 관리하는 Amazon VPC 인스턴스에 대한 인터넷 액세스 허용 안 함Amazon VPN (가상 사설망) 연결 허용 안 함Amazon EC2, Amazon CloudFront 및 AWS Global Accelerator 대한 리전 간 네트워킹 허용 안 함 Amazon EC2 Auto Scaling용 퍼블릭 IP 주소가 시작 구성을 통해 활성화되었는지 탐지합니다.AWS Database Migration Service용 복제 인스턴스가 퍼블릭 모든 AWS 계정에서 Amazon EBS 스냅샷을 복원할 수 있는지 여부를 감지합니다.Amazon EC2 인스턴스에 연결된 퍼블릭 IPv4 주소가 있는지 여부를 감지합니다.퍼블릭 액세스를 차단하는 Amazon S3 설정이 계정에 대해 true로 설정되었는지 여부를 감지합니다.Amazon EKS 엔드포인트가 공개 액세스에서 차단되었는지 여부를 감지합니다.아마존 여부 감지 OpenSearch 서비스 도메인이 Amazon VPC 있음Amazon EMR 클러스터 마스터 노드에 퍼블릭 IP 주소가 있는지 여부를 감지합니다.Lambda 리소스에 연결된 AWS Lambda 함수 정책이 퍼블릭 액세스를 차단했는지 탐지합니다.Internet Gateway (IGW) 의 라우팅 테이블에 공용 경로가 있는지 여부를 감지합니다.Amazon Redshift 클러스터가 공개 액세스에서 차단되었는지 여부를 감지합니다.아마존 여부 감지 SageMaker 직접 인터넷 액세스를 허용하는 노트북 인스턴스Amazon VPC 서브넷에 퍼블릭 IP 주소가 할당되었는지 탐지합니다.계정이 소유한 AWS Systems Manager 문서가 공개인지 여부를 감지합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 상주 보호를 강화하는 가드레일

이러한 선택적 가드레일은 기업의 데이터 상주 상태를 보완합니다. 이러한 가드레일을 함께 적용하면 다중 계정 환경을 설정하여 선택한 AWS 리전 또는 리전 외부에서 의도적이거나 우발적인 데이터 생성, 공유 또는 복사를 감지하고 억제할 수 있습니다.

이러한 가드레일은 OU 수준에서 적용되며 OU 내의 모든 구성원 계정에 적용됩니다.

중요

AWS Identity and Access Management (IAM) 와 같은 특정 글로벌 AWS 서비스AWS Organizations, 이 난간에서 면제됩니다. 다음을 검토하여 면제되는 서비스를 식별할 수 있습니다.SCP 리전 거부예제 코드에 표시됩니다. 식별자 뒤에 “*”가 있는 서비스는 면제됩니다. “*” 표기법이 주어지면 모든 작업이 허용되기 때문입니다. 이 SCP에는 기본적으로 명시적으로 허용된 작업 목록이 포함되어 있으며 다른 모든 행동은 거부됩니다. 홈 지역에 대한 접근을 거부할 수 없습니다.

비디오: 데이터 레지던시 가드레일 사용

이 비디오 (5:58) 는 AWS Control Tower 가드레일에서 데이터 레지던시 제어를 활성화하는 방법에 대해 설명합니다. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.

주제

요청된 AWS 리전에 따라 AWS에 대한 액세스를 거부

이 가드레일을 일반적으로 영역 거부 가드레일이라고 합니다.

이 가드레일은 지정된 리전 외부의 글로벌 및 지역 서비스에서 미등록 운영에 대한 액세스를 허용하지 않습니다. 여기에는 AWS Control Tower 를 사용할 수 없는 모든 리전과 거버넌스를 위해 선택되지 않은 모든 리전이 포함됩니다.랜딩 영역 설정페이지. 다음과 같은 지역에서는 평소와 같이 작업이 허용됩니다.관리됩니다상태.

참고

AWS Identity AWS Identity and Access Management (IAM) 및 AWS Organizations 조직과 같은 특정 글로벌 AWS 서비스는 데이터 레지던시 가드레일에서 제외됩니다. 이러한 서비스는 다음의 SCP 예제 코드에 명시되어 있습니다.

이것은 예방 지침이 있는 선택적인 난간입니다. 이 가드레일은 다음과 연관된 기본 난간입니다.리전 거부action. 자세한 정보는 영역 거부 가드레일 구성을 참조하십시오.

이 가드레일의 형식은 다음 SCP를 기반으로 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRREGIONDENY", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "budgets:*", "ce:*", "chime:*", "cloudfront:*", "config:*", "cur:*", "directconnect:*", "ec2:DescribeRegions", "ec2:DescribeTransitGateways", "ec2:DescribeVpnGateways", "fms:*", "globalaccelerator:*", "health:*", "iam:*", "importexport:*", "kms:*", "mobileanalytics:*", "networkmanager:*", "organizations:*", "pricing:*", "route53-recovery-control-config:*", "route53-recovery-readiness:*", "route53-recovery-cluster:*", "route53:*", "route53domains:*", "s3:GetBucketPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "shield:*", "sts:*", "support:*", "trustedadvisor:*", "waf-regional:*", "waf:*", "wafv2:*", "access-analyzer:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [] }, "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

이 예제 SCP 형식을 기반으로 AWS Control Tower Tower는 관리되는 리전을aws:RequestedRegion표시됩니다. 홈 지역은 제외할 수 없습니다. SCP에 나열되지 않은 조치는 허용되지 않습니다.

고객이 관리하는 Amazon VPC 인스턴스에 대한 인터넷 액세스 허용 안 함

이 가레일은 AWS 서비스가 아닌 고객이 관리하는 Amazon Virtual Private Cloud (VPC) 인스턴스에 대한 인터넷 액세스를 허용하지 않습니다.

중요

VPC 인터넷 액세스 설정이 활성화된 Account Factory 계정을 프로비저닝하는 경우 해당 Account Factory 설정이 이 가드레일보다 우선합니다. 새로 프로비저닝된 계정에 인터넷 액세스를 사용하지 않으려면 Account Factory 팩토리에서 설정을 변경해야 합니다. 자세한 정보는 연습: VPC 없이 AWS Control Tower 구성을 참조하십시오.

  • 이 가드레일은 AWS 서비스에서 관리하는 VPC에는 적용되지 않습니다.

  • 인터넷에 액세스할 수 있는 기존 VPC는 인터넷 액세스를 유지합니다. 이 인스턴스는 새 인스턴스에만 적용됩니다. 이 가드레일을 적용한 후에는 액세스를 변경할 수 없습니다.

이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 서비스 제어 정책(SCP)입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWVPCINTERNETACCESS", "Effect": "Deny", "Action": [ "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:CreateEgressOnlyInternetGateway", "ec2:AttachEgressOnlyInternetGateway", "ec2:CreateDefaultVpc", "ec2:CreateDefaultSubnet", "ec2:CreateCarrierGateway" ], "Resource": [ "*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Amazon VPN (가상 사설망) 연결 허용 안 함

이 가레일은 Amazon 가상 사설 클라우드 (VPC) 에 대한 VPN (가상 사설망) 연결 (Site-to-Site VPN 및 Client VPN) 을 방지합니다.

참고

인터넷에 액세스할 수 있는 기존 VPC는 인터넷 액세스를 유지합니다.

이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 서비스 제어 정책(SCP)입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWVPNCONNECTIONS", "Effect": "Deny", "Action": [ "ec2:CreateVPNGateway", "ec2:AttachVPNGateway", "ec2:CreateCustomerGateway", "ec2:CreateVpnConnection", "ec2:ModifyVpnConnection", "ec2:CreateClientVpnEndpoint", "ec2:ModifyClientVpnEndpoint", "ec2:AssociateClientVpnTargetNetwork", "ec2:AuthorizeClientVpnIngress" ], "Resource": [ "*" ] } ] }

Amazon EC2, Amazon CloudFront 및 AWS Global Accelerator 대한 리전 간 네트워킹 허용 안 함

이 가레일은 Amazon EC2, Amazon CloudFront 및 AWS Global Accelerator 서비스에서 리전 간 네트워킹 연결을 구성하는 것을 방지합니다. VPC 피어링 및 전송 게이트웨이 피어링을 방지합니다.

참고

이 가드레일은 Amazon EC2 VPC 피어링 및 Amazon EC2 전송 게이트웨이 피어링을 단일 리전 내에서뿐만 아니라 리전 전체에서 피어링하는 것을 방지합니다. 이러한 이유로 이 가드레일은 데이터 상주 자세뿐만 아니라 특정 워크로드에 영향을 줄 수 있습니다.

이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 서비스 제어 정책(SCP)입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWCROSSREGIONNETWORKING", "Effect": "Deny", "Action": [ "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateTransitGatewayPeeringAttachment", "ec2:AcceptTransitGatewayPeeringAttachment", "cloudfront:CreateDistribution", "cloudfront:UpdateDistribution", "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": [ "*" ] } ] }

Amazon EC2 Auto Scaling용 퍼블릭 IP 주소가 시작 구성을 통해 활성화되었는지 탐지합니다.

이 가드레일은 Amazon EC2 Auto Scaling 그룹에 시작 구성을 통해 퍼블릭 IP 주소가 활성화되어 있는지 여부를 감지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수자동 확장 그룹에 대한 시작 구성이 필드 값을 설정하는 경우 statusAssociatePublicIpAddress로 설정True.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether public IP addresses for Amazon EC2 Auto Scaling are enabled through launch configurations Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: AutoscalingLaunchConfigPublicIpDisabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon EC2 Auto Scaling groups have public IP addresses enabled through launch configurations. This rule is NON_COMPLIANT if the launch configuration for an Auto Scaling group has the value of the field AssociatePublicIpAddress set as True. Scope: ComplianceResourceTypes: - AWS::AutoScaling::LaunchConfiguration Source: Owner: AWS SourceIdentifier: AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

AWS Database Migration Service용 복제 인스턴스가 퍼블릭

이 가드레일은 AWS Database Migration Service 복제 인스턴스가 공개인지 여부를 감지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수의 값인 경우 상태PubliclyAccessible필드가 다음과 같이 설정됩니다.True.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether replication instances for AWS Database Migration Service are public Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: DmsReplicationNotPublic: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether AWS Database Migration Service replication instances are public. The rule is NON_COMPLIANT if the value of the PubliclyAccessible field is set as True. Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

모든 AWS 계정에서 Amazon EBS 스냅샷을 복원할 수 있는지 여부를 감지합니다.

이 가드레일은 모든 AWS 계정이 Amazon EBS 스냅샷을 복원할 수 있는 액세스 권한이 있는지 여부를 감지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수상태 스냅샷이 있는 경우RestorableByUserIds값으로 설정된 필드모두. 이 경우 Amazon EBS 스냅샷은 공개됩니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether Amazon EBS snapshots are restorable by all AWS accounts Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EbsSnapshotPublicRestorableCheck: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether all AWS accounts have access to restore Amazon EBS snapshots. The rule is NON_COMPLIANT if any snapshots have the RestorableByUserIds field set to the value All. In that case, the Amazon EBS snapshots are public. Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Amazon EC2 인스턴스에 연결된 퍼블릭 IPv4 주소가 있는지 여부를 감지합니다.

이 가드레일은 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스에 퍼블릭 IPv4 주소가 있는지 탐지합니다. 이 가드레일은 IPv4 주소에만 적용됩니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수Amazon EC2 인스턴스 구성 항목에 퍼블릭 IP 필드가 있는 경우 status 입니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether any Amazon EC2 instance has an associated public IPv4 address Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: Ec2InstanceNoPublicIp: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an Amazon Elastic Compute Cloud (Amazon EC2) instance has an associated public IPv4 address. The rule is NON_COMPLIANT if the public IP field is present in the Amazon EC2 instance configuration item. Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP

퍼블릭 액세스를 차단하는 Amazon S3 설정이 계정에 대해 true로 설정되었는지 여부를 감지합니다.

이 가드레일은 퍼블릭 액세스를 차단하는 데 필요한 Amazon S3 설정이 버킷이나 액세스 포인트가 아닌 계정에 대해 true로 구성되었는지 주기적으로 감지합니다.

콘솔에서:

  • 규칙에 따르면규정 미준수설정 중 하나 이상이 false인 경우 state입니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to check whether Amazon S3 settings to block public access are set as true for the account. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' PublicAccessBlockSetting: Type: 'String' Default: 'True' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForS3PublicAccessBlock: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks the Amazon S3 settings to block public access are set as true for the account. The rule is non-compliant if at-least one of the settings is false. Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Scope: ComplianceResourceTypes: - AWS::S3::AccountPublicAccessBlock InputParameters: IgnorePublicAcls: !Ref PublicAccessBlockSetting BlockPublicPolicy: !Ref PublicAccessBlockSetting BlockPublicAcls: !Ref PublicAccessBlockSetting RestrictPublicBuckets: !Ref PublicAccessBlockSetting MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Amazon EKS 엔드포인트가 공개 액세스에서 차단되었는지 여부를 감지합니다.

이 가드레일은 Amazon Elastic Kubernetes Service (Amazon EKS) 엔드포인트가 퍼블릭 액세스로부터 차단되었는지 탐지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수엔드포인트에 공개적으로 액세스할 수 있는 경우 state입니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon EKS endpoint is blocked from public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EKSEndpointNoPublicAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an Amazon Elastic Kubernetes Service (Amazon EKS) endpoint is publicly accessible. The rule is NON_COMPLIANT if the endpoint is publicly accessible. Source: Owner: AWS SourceIdentifier: EKS_ENDPOINT_NO_PUBLIC_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

아마존 여부 감지 OpenSearch 서비스 도메인이 Amazon VPC 있음

이 가드레일은 아마존인지 여부를 탐지합니다. OpenSearch 서비스 도메인은 Amazon VPC 있습니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수OpenSearch Service 도메인 엔드포인트가 퍼블릭 엔드포인트이면

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon OpenSearch Service domain is in Amazon VPC Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: ElasticsearchInVpcOnly: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon OpenSearch Service domains are in Amazon Virtual Private Cloud (Amazon VPC). The rule is NON_COMPLIANT if the OpenSearch Service domain endpoint is public. Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Amazon EMR 클러스터 마스터 노드에 퍼블릭 IP 주소가 있는지 여부를 감지합니다.

이 가드레일은 Amazon EMR 클러스터 마스터 노드에 퍼블릭 IP 주소가 있는지 여부를 감지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수statutions입니다. 마스터 노드에 퍼블릭 IP 주소가 있는 경우

  • 이 가드레일은 RUNNING 또는 WAITING 상태에 있는 클러스터를 확인합니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether any Amazon EMR cluster master nodes have public IP addresses Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EmrMasterNoPublicIp: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether any Amazon Elastic MapReduce (EMR) cluster master nodes have public IP addresses. The rule is NON_COMPLIANT if a master node has a public IP. This guardrail checks clusters that are in RUNNING or WAITING state. Source: Owner: AWS SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Lambda 리소스에 연결된 AWS Lambda 함수 정책이 퍼블릭 액세스를 차단했는지 탐지합니다.

이 가드레일은 Lambda 리소스에 연결된 AWS Lambda 함수 정책이 퍼블릭 액세스를 차단하는지 여부를 감지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수status - Lambda 함수 정책에서 퍼블릭 액세스를 허용하는 경우입니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether the AWS Lambda function policy attached to the Lambda resource blocks public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: LambdaFunctionPublicAccessProhibited: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether the AWS Lambda function policy attached to the Lambda resource prohibits public access. The rule is NON_COMPLIANT if the Lambda function policy allows public access. Scope: ComplianceResourceTypes: - AWS::Lambda::Function Source: Owner: AWS SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Internet Gateway (IGW) 의 라우팅 테이블에 공용 경로가 있는지 여부를 감지합니다.

이 가드레일은 Internet Gateway (IGW) 와 연결된 라우팅 테이블에 공용 경로가 존재하는지 여부를 감지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수경로에 대상 CIDR 블록이 있는 경우 상태0.0.0.0/0또는::/0또는 대상 CIDR 블록이 규칙 매개변수와 일치하지 않는 경우

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether public routes exist in the route table for an Internet Gateway (IGW) Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: NoUnrestrictedRouteToIgw: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether public routes exist in the route table associated with an Internet Gateway (IGW). The rule is NON_COMPLIANT if a route has a destination CIDR block of '0.0.0.0/0' or '::/0' or if a destination CIDR block does not match the rule parameter. Scope: ComplianceResourceTypes: - AWS::EC2::RouteTable Source: Owner: AWS SourceIdentifier: NO_UNRESTRICTED_ROUTE_TO_IGW

Amazon Redshift 클러스터가 공개 액세스에서 차단되었는지 여부를 감지합니다.

이 가드레일은 Amazon Redshift 클러스터가 공개 액세스에서 차단되었는지 여부를 감지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수상태가publiclyAccessible필드가 다음으로 설정됩니다.True클러스터 구성 항목에 있습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether Amazon Redshift clusters are blocked from public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: RedshiftClusterPublicAccessCheck: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon Redshift clusters are blocked from public access. The rule is NON_COMPLIANT if the publiclyAccessible field is true in the cluster configuration item. Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

아마존 여부 감지 SageMaker 직접 인터넷 액세스를 허용하는 노트북 인스턴스

이 가드레일은 아마존인지 여부를 탐지합니다. SageMaker 노트북 인스턴스는 직접 인터넷 액세스를 허용합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수Amazon SageMaker 노트북 인스턴스에서 직접 인터넷 액세스를 허용하는 경우 상태입니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon SageMaker notebook instance allows direct internet access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: SagemakerNotebookNoDirectInternetAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether direct internet access is allowed for an Amazon SageMaker notebook instance. The rule is NON_COMPLIANT if Amazon SageMaker notebook instances allow direct internet access. Source: Owner: AWS SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Amazon VPC 서브넷에 퍼블릭 IP 주소가 할당되었는지 탐지합니다.

이 가드레일은 Amazon Virtual Private Cloud (Amazon VPC) 서브넷에 퍼블릭 IP 주소가 할당되었는지 탐지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

콘솔에서:

  • 규칙에 따르면규정 미준수Amazon VPC 퍼블릭 IP 주소가 할당된 서브넷이 있는 경우 를 지정합니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Detect whether any Amazon VPC subnets are assigned a public IP address Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: SubnetAutoAssignPublicIpDisabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon Virtual Private Cloud (Amazon VPC) subnets are assigned a public IP address. The rule is NON_COMPLIANT if Amazon VPC has subnets that are assigned a public IP address. Scope: ComplianceResourceTypes: - AWS::EC2::Subnet Source: Owner: AWS SourceIdentifier: SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

계정이 소유한 AWS Systems Manager 문서가 공개인지 여부를 감지합니다.

이 가드레일은 계정이 소유한 AWS Systems Manager 문서가 공개인지 여부를 감지합니다.

이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether AWS Systems Manager documents owned by the account are public Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: SsmDocumentNotPublic: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether AWS Systems Manager (SSM) documents owned by the account are public. This rule is NON_COMPLIANT if any documents with owner 'Self' are public. Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency