필수 가드레일 - AWS Control Tower
로그 아카이브에 AWS Control Tower 타워가 생성한 Amazon S3 버킷에 대한 암호화 구성 변경 허용 안 함로그 아카이브에 AWS Control Tower 타워가 생성한 Amazon S3 버킷에 대한 로깅 구성 변경 허용 안 함 로그 아카이브에 AWS Control Tower 타워가 생성한 Amazon S3 버킷에 대한 버킷 정책 변경 허용 안 함 로그 아카이브에 AWS Control Tower 타워가 생성한 Amazon S3 버킷에 대한 수명 주기 구성 변경 허용 안 함Amazon 변경 허용 안 함 CloudWatch AWS Control Tower Tower에서 설정한 로그 그룹AWS Control Tower 에서 생성한 AWS Config 집계 권한 부여 삭제 허용 안 함로그 아카이브 삭제 허용 안 함로그 아카이브에 대한 공용 읽기 액세스 설정 감지로그 아카이브에 대한 공용 쓰기 액세스 설정 감지CloudTrail의 구성 변경 허용 안 함통합 CloudTrail Amazon 의 이벤트 CloudWatch 로그활성화 CloudTrail 사용 가능한 모든 리전에서 CloudTrail 로그 파일에 대한 무결성 검증 활성화AWS Control Tower 타워에서 Amazon CloudWatch 설정 변경 허용 안 함AWS Control Tower 타워에서 생성한 태그 변경 허용 안 함AWS Config리소스AWS Config의 구성 변경 허용 안 함사용 가능한 모든 리전에서 AWS Config 활성화의 변경 허용 안 함AWS Config RulesAWS Control Tower에서 설정AWS 컨트롤 타워 및 AWS CloudFormation에서 설정한 AWS IAM 역할에 대한 변경 허용 안 함AWS Control Tower 타워에서 설정한 AWS Lambda 함수에 대한 변경 허용 안 함AWS Control Tower 타워에서 설정한 Amazon SNS 변경 허용 안 함AWS Control Tower 타워에서 설정한 Amazon SNS 구독 변경 허용 안 함

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

필수 가드레일

landing zone 존을 설정할 때 필수 가드레일은 기본적으로 활성화되며 비활성화할 수 없습니다. 아래에는 AWS Control Tower 에서 사용할 수 있는 필수 가드레일 각각에 대한 참조가 있습니다.

주제

참고

네 가지 필수 가드 레일"Sid": "GRCLOUDTRAILENABLED"설계에 따라 동일합니다. 샘플 코드가 정확합니다.

로그 아카이브에 AWS Control Tower 타워가 생성한 Amazon S3 버킷에 대한 암호화 구성 변경 허용 안 함

이 가드레일은 AWS Control Tower Tower가 로그 아카이브 계정에 생성하는 Amazon S3 버킷에 대한 암호화에 대한 변경을 방지합니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 보안 OU에서 활성화되어 있습니다. 추가 OU에서는 활성화할 수 없습니다.

이 가드레일의 아티팩트는 다음 서비스 제어 정책(SCP)입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

로그 아카이브에 AWS Control Tower 타워가 생성한 Amazon S3 버킷에 대한 로깅 구성 변경 허용 안 함

이 가드레일은 AWS Control Tower Tower가 로그 아카이브 계정에 생성하는 Amazon S3 버킷에 대한 로깅 구성 변경을 방지합니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 보안 OU에서 활성화되어 있습니다. 추가 OU에서는 활성화할 수 없습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

로그 아카이브에 AWS Control Tower 타워가 생성한 Amazon S3 버킷에 대한 버킷 정책 변경 허용 안 함

이 가드레일은 AWS Control Tower Tower가 로그 아카이브 계정에 생성하는 Amazon S3 버킷에 대한 버킷 정책 변경을 방지합니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 보안 OU에서 활성화되어 있습니다. 추가 OU에서는 활성화할 수 없습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

로그 아카이브에 AWS Control Tower 타워가 생성한 Amazon S3 버킷에 대한 수명 주기 구성 변경 허용 안 함

이 가드레일은 AWS Control Tower Tower가 로그 아카이브 계정에 생성하는 Amazon S3 버킷에 대한 수명 주기 구성 변경을 방지합니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 보안 OU에서 활성화되어 있습니다. 추가 OU에서는 활성화할 수 없습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Amazon 변경 허용 안 함 CloudWatch AWS Control Tower Tower에서 설정한 로그 그룹

이 가드레일은 landing zone 설정할 때 AWS Control Tower 가 로그 아카이브 계정에 생성한 Amazon CloudWatch Logs 로그 그룹에 대한 보존 정책의 변경을 방지합니다. 또한 고객 계정의 로그 보존 정책을 수정할 수 없습니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

AWS Control Tower 에서 생성한 AWS Config 집계 권한 부여 삭제 허용 안 함

이 가드레일은 landing zone 존을 설정할 때 AWS Control Tower가 감사 계정에 생성한 AWS Config 집계 권한이 삭제되는 것을 방지합니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

로그 아카이브 삭제 허용 안 함

이 가드레일은 로그 아카이브 계정에서 AWS Control Tower 가 생성한 Amazon S3 버킷이 삭제되는 것을 방지합니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 에서 활성화됩니다.보안OU.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

로그 아카이브에 대한 공용 읽기 액세스 설정 감지

이 가드레일은 로그 아카이브 공유 계정에서 Amazon Amazon S3 버킷에 대한 퍼블릭 읽기 액세스 허용 여부를 감지합니다. 이 가드레일은 계정 상태를 변경하지 않습니다. 이 가드레일은 필수 지침이 있는 감지 가드레일입니다. 기본적으로 이 가드레일은 에서 활성화됩니다.보안OU.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

로그 아카이브에 대한 공용 쓰기 액세스 설정 감지

이 가드레일은 로그 아카이브 공유 계정에서 Amazon Amazon S3 버킷에 대한 퍼블릭 쓰기 액세스 허용 여부를 감지합니다. 이 가드레일은 계정 상태를 변경하지 않습니다. 이 가드레일은 필수 지침이 있는 감지 가드레일입니다. 기본적으로 이 가드레일은 에서 활성화됩니다.보안OU.

이 가드레일의 아티팩트는 다음 AWS Config 규칙입니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

CloudTrail의 구성 변경 허용 안 함

이 가드레일은 의 구성 변경을 금지합니다. CloudTrail landing zone 구역에 있습니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

통합 CloudTrail Amazon 의 이벤트 CloudWatch 로그

이 가드레일은 CloudTrail 이벤트를 에 전송하여 활동 데이터의 실시간 분석을 수행합니다. CloudWatch 로그 파일을 기록합니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

활성화 CloudTrail 사용 가능한 모든 리전에서

이 가드 레일은 CloudTrail 모든 가용 AWS 리전에서 사용할 수 있습니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

CloudTrail 로그 파일에 대한 무결성 검증 활성화

이 가드레일은 CloudTrail 모든 계정과 OU에서 로그 파일입니다. 이렇게 하면 CloudTrail 로그 파일 검증을 사용하여 계정 활동 로그의 무결성을 보호할 수 있습니다. 이러한 검증은 각 로그의 해시를 포함하는 디지털 서명된 다이제스트 파일을 생성합니다. CloudTrail Amazon S3에 씁니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower 타워에서 Amazon CloudWatch 설정 변경 허용 안 함

이 가드레일은 아마존의 변경을 허용하지 않습니다. CloudWatch landing zone 존을 설정할 때 AWS Control Tower Tower에서 구성할 수 있습니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower 타워에서 생성한 태그 변경 허용 안 함AWS Config리소스

이 가드레일은 에 대한 landing zone 존을 설정할 때 AWS Control Tower 가 생성한 태그의 변경을 방지합니다.AWS Config구성 및 규정 준수 데이터를 수집하는 리소스 그것은 어떤 것도 거부합니다.TagResourceUntagResourceAWS Control Tower Tower에서 태그가 지정된 집계 권한 부여 작업. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }

AWS Config의 구성 변경 허용 안 함

이 가드레일은 의 구성 변경을 금지합니다.AWS Config. AWS Config 설정 변경을 허용하지 않음으로써 AWS Config 레코드 리소스 구성을 일관된 방식으로 유지할 수 있습니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

사용 가능한 모든 리전에서 AWS Config 활성화

이 가드레일은 사용 가능한 모든 AWS 리전에서 AWS Config를 활성화합니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

의 변경 허용 안 함AWS Config RulesAWS Control Tower에서 설정

이 가드레일은 에 대한 변경을 허용하지 않습니다.AWS Config Rules이는 landing zone 존이 설정되었을 때 AWS Control Tower Tower에서 구현했습니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

AWS 컨트롤 타워 및 AWS CloudFormation에서 설정한 AWS IAM 역할에 대한 변경 허용 안 함

이 가드레일은 landing zone 존이 설정되었을 때 AWS Control Tower 가 생성한 AWS IAM 역할의 변경을 허용하지 않습니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

가드레일 업데이트

필수 가드레일에 대해 업데이트된 버전이 릴리스되었습니다.AWS-GR_IAM_ROLE_CHANGE_PROHIBITED.

AWS Control Tower 에 등록하는 OU의 계정에는 다음 항목이 있어야 하므로 이 가드레일을 변경해야 합니다.AWSControlTowerExecution역할이 활성화되었습니다. 이전 버전의 가드레일에서는 이 역할이 작성되지 않습니다.

AWS Control Tower 에서 예외를 추가하도록 기존 가드레일을 업데이트하여AWS CloudFormation스택셋은AWSControlTowerExecution역할 두 번째 조치로, 이 새로운 가드 레일은StackSet하위 계정의 보안 주체가 액세스 권한을 얻지 못하도록 하는 역할입니다.

새 가드레일 버전은 이전 버전에서 제공된 모든 작업 외에도 다음 작업을 수행합니다.

  • 허용하기stacksets-exec-*역할 (소유AWS CloudFormation) AWS Control Tower 에서 생성한 IAM 역할에 대한 작업을 수행합니다.

  • IAM 역할 이름이 패턴과 일치하는 하위 계정의 IAM 역할에 대한 변경을 방지합니다.stacksets-exec-*.

가드레일 버전에 대한 업데이트는 다음과 같이 OU 및 계정에 영향을 줍니다.

  • 거버넌스를 OU로 확장하면 들어오는 OU가 등록 프로세스의 일부로 업데이트된 버전의 가드레일을 수신합니다. 이 OU의 최신 버전을 얻기 위해 landing zone 존을 업데이트할 필요가 없습니다. AWS Control Tower 는 최신 버전을 등록하는 OU에 자동으로 적용합니다.

  • 이 릴리즈 이후 언제든지 landing zone 구역을 업데이트하거나 수리하는 경우 future 프로비저닝을 위해 가드레일이 이 버전으로 업데이트됩니다.

  • 이 릴리즈 날짜 이전에 AWS Control Tower 에서 생성되거나 등록되어 있으며, 릴리스 날짜 이후에 수리되거나 업데이트되지 않은 landing zone 존의 일부인 OU는 이전 버전의 가드레일과 함께 계속 작동하며, 이는AWSControlTowerExecution역할

  • 이 가드레일 업데이트의 한 가지 결과는 OU가 다른 버전의 가드레일에서 작동할 수 있다는 것입니다. landing zone 구역을 업데이트하여 업데이트된 버전의 가드레일을 OU에 균일하게 적용합니다.

업데이트된 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }

이 가드레일의 이전 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower 타워에서 설정한 AWS Lambda 함수에 대한 변경 허용 안 함

이 가드레일은 AWS Control Tower 가 설정한 AWS Lambda 함수의 변경을 허용하지 않습니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower 타워에서 설정한 Amazon SNS 변경 허용 안 함

이 가드레일은 AWS Control Tower Tower에서 설정한 Amazon SNS의 변경을 허용하지 않습니다. landing zone 존에 대한 Amazon SNS 알림 설정의 무결성이 보호됩니다. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

AWS Control Tower 타워에서 설정한 Amazon SNS 구독 변경 허용 안 함

이 가드레일은 AWS Control Tower 가 설정한 Amazon SNS 구독의 변경을 허용하지 않습니다. 이렇게 하면 에 대한 알림을 트리거하기 위해 landing zone 존에 대한 Amazon SNS 구독 설정의 무결성이 보호됩니다.AWS Config Rules규정 준수 변경 사항. 이 가드레일은 필수 지침이 있는 방지 가드레일입니다. 기본적으로 이 가드레일은 모든 OU에서 활성화되어 있습니다.

이 가드레일의 아티팩트는 다음 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }