선택 가드레일 - AWS Control Tower

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

선택 가드레일

선택 가드레일은 AWS 엔터프라이즈 환경에서 일반적으로 제한되는 작업을 수행하려는 시도를 추적하거나 잠글 수 있습니다. 이런 가드레일은 기본적으로 비활성 상태이며 사용을 중지할 수 있습니다. 아래에는 AWS Control Tower에서 사용할 수 있는 선택 가드레일 각각에 대한 참조가 있습니다.

Amazon S3 버킷에 대해 교차 리전 간 복사 허용 안 함

다른 AWS 리전으로의 버킷 내 객체 자동, 비동기 복사를 비활성화하여 Amazon S3 데이터 위치를 단일 AWS 리전으로 제한합니다. 이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION", "Effect": "Deny", "Action": [ "s3:PutReplicationConfiguration" ], "Resource": [ "*" ] } ] }

MFA가 없는 Amazon S3 버킷의 삭제 작업 허용 안 함

삭제 작업 시 MFA를 요구하여 Amazon S3 버킷을 보호합니다. MFA는 사용자 이름 및 암호 위에 추가 인증 코드를 추가합니다. 이 가드레일은 선택 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3DELETEWITHOUTMFA", "Effect": "Deny", "Action": [ "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": [ "false" ] } } } ] }

MFA가 없는 IAM 사용자의 액세스 허용 안 함

계정 내 모든 IAM 사용자에게 MFA를 요구하여 계정을 보호합니다. MFA는 사용자 이름 및 암호 위에 추가 인증 코드를 추가합니다. 이 가드레일은 MFA가 활성화되었는지 여부를 탐지합니다. 이 가드레일은 계정 상태를 변경하지 않습니다. 이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether the IAM users have MFA enabled Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

MFA가 없는 IAM 사용자의 콘솔 액세스 허용 안 함

콘솔 내 모든 IAM 사용자에게 MFA를 요구하여 계정을 보호합니다. MFA는 사용자 이름 및 암호 위에 추가 인증 코드를 추가합니다. 이 가드레일은 MFA가 활성화되었는지 여부를 탐지합니다. 이 가드레일은 계정 상태를 변경하지 않습니다. 이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserConsoleMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

버전 관리가 활성화되지 않은 Amazon S3 버킷 허용 안 함

Amazon S3 버킷의 버전 관리가 활성화되지 않았는지 여부를 탐지합니다. 버전 관리를 사용하면 실수로 삭제되거나 덮어쓴 객체를 복구할 수 있습니다. 이 가드레일은 계정 상태를 변경하지 않습니다. 이 가드레일은 선택 지침이 있는 탐지 가드레일입니다. 기본적으로 이 가드레일은 활성화되지 않습니다.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3VersioningEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether versioning is enabled for your S3 buckets. Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Scope: ComplianceResourceTypes: - AWS::S3::Bucket