선택 가드레일 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

선택 가드레일

선택 가드레일은 AWS 엔터프라이즈 환경에서 일반적으로 제한되는 작업을 수행하려는 시도를 추적하거나 잠글 수 있습니다. 이런 가드레일은 기본적으로 비활성 상태이며 사용을 중지할 수 있습니다. 아래에는 AWS Control Tower 에서 사용할 수 있는 선택 가드레일 참조가 있습니다. 데이터 상주를 위한 선택적인 가드레일은 별도의 섹션으로 수집됩니다.데이터 상주 보호를 강화하는 가드레일.

Amazon S3 버킷에 대한 암호화 구성 변경 허용 안 함 [이전: 로그 아카이브에 대한 유휴 데이터 암호화 활성화]

이 가드레일은 모든 Amazon S3 버킷의 암호화 변경을 허용하지 않습니다. 이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 서비스 제어 정책(SCP)입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETENCRYPTIONENABLED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Amazon S3 버킷에 대한 로깅 구성 변경 허용 안 함 [이전: 로그 아카이브에 대한 액세스 로깅 활성화]

이 가드레일은 모든 Amazon S3 버킷의 로그 구성 변경을 허용하지 않습니다. 이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETLOGGINGENABLED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Amazon S3 버킷에 대한 버킷 정책 변경 허용 안 함 [이전: 로그 아카이브에 대한 정책 변경 허용 안 함]

이 가드레일은 모든 Amazon S3 버킷에 대한 버킷 정책을 변경할 수 없습니다. 이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Amazon S3 버킷에 대한 수명 주기 구성 변경 허용 안 함 [이전: 로그 아카이브에 대한 보존 정책 설정]

이 가드레일은 모든 Amazon S3 버킷에 대한 수명 주기 구성 변경을 허용하지 않습니다. 이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETRETENTIONPOLICY", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Amazon S3 버킷에 대한 복제 구성 변경 허용 안 함

리전 내 또는 리전 간 복제를 처리하도록 Amazon S3 버킷이 설정된 방식에 대한 변경을 방지합니다. 예를 들어 단일 리전 복제를 사용하여 버킷을 설정하여 Amazon S3 데이터의 위치를 단일 AWS 리전으로 제한하는 경우 (버킷 간에 다른 AWS 리전으로의 객체 자동 비동기식 복사를 비활성화함) 이 가드레일은 복제 설정이 수행되지 않도록 방지합니다.변경되었습니다. 이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION", "Effect": "Deny", "Action": [ "s3:PutReplicationConfiguration" ], "Resource": [ "*" ] } ] }

MFA가 없는 Amazon S3 버킷의 삭제 작업 허용 안 함

삭제 작업 시 MFA를 요구하여 Amazon S3 버킷을 보호합니다. MFA에는 사용자 이름 및 암호가 성공한 후 MFA가 추가 인증 코드가 필요합니다. 이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3DELETEWITHOUTMFA", "Effect": "Deny", "Action": [ "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": [ "false" ] } } } ] }

AWS IAM 사용자에 대해 MFA가 활성화되었는지 여부를 감지합니다.

이 가드레일은 AWS IAMUsers에 대해 MFA가 활성화되었는지 여부를 탐지합니다. 계정 내 모든 AWS IAM 사용자에게 MFA를 요구하여 계정을 보호할 수 있습니다. 사용자 이름과 암호가 성공한 후 MFA에 추가 인증 코드가 필요합니다. 이 가드레일은 계정 상태를 변경하지 않습니다. 이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether the IAM users have MFA enabled Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

AWS 콘솔의 AWS IAM 사용자에 대해 MFA가 활성화되어 있는지 여부를 감지합니다.

콘솔에서 모든 AWS IAM 사용자에게 MFA를 요구하여 계정을 보호합니다. MFA 사용자 이름과 암호가 성공한 후 추가 인증 코드를 요구하여 취약한 인증으로 인한 취약성 위험을 감소시킵니다. 이 가드레일은 MFA가 활성화되었는지 여부를 탐지합니다. 이 가드레일은 계정 상태를 변경하지 않습니다. 이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserConsoleMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Amazon S3 버킷에 대한 버전 관리가 활성화되었는지 여부를 감지합니다.

Amazon S3 버킷에서 버전 관리를 활성화했는지 탐지합니다. 버전 관리를 사용하면 실수로 삭제되거나 덮어쓴 객체를 복구할 수 있습니다. 이 가드레일은 계정 상태를 변경하지 않습니다. 이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3VersioningEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether versioning is enabled for your S3 buckets. Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Scope: ComplianceResourceTypes: - AWS::S3::Bucket