Guardrails que aprimoram a proteção da residência de dados - AWS Control Tower
Vídeo: Habilite grades de proteção de residência de dadosNegar acessoAWScom base no solicitadoAWSRegiãoProibir o acesso à Internet para uma instância Amazon VPC gerenciada por um clienteProibir conexões da Amazon Virtual Private Network (VPN)Proíba redes entre regiões para Amazon EC2, Amazon CloudFront, eAWSGlobal Accelerator Detecte se os endereços IP públicos para o escalonamento automático do Amazon EC2 estão habilitados por meio de configurações de execução Detecte se instâncias de replicação paraAWSOs Database Migration Service de dados são Detecte se os snapshots do Amazon EBS podem ser restaurados por todosAWScontasDetecte se alguma instância do Amazon EC2 tem um endereço IPv4 público associadoDetecte se as configurações do Amazon S3 para bloquear o acesso público estão definidas como verdadeiras para a contaDetecta se o acesso público a um endpoint do Amazon EKS está bloqueadoDetecte se uma Amazon OpenSearch O domínio do serviço está no Amazon VPCDetecte se algum nó principal do cluster Amazon EMR tem endereços IP públicosDetectar se oAWSA política de função do Lambda anexada ao recurso Lambda bloqueia o acesso públicoDetecte se existem rotas públicas na tabela de rotas de um Internet Gateway (IGW) Detecte se o acesso público aos clusters do Amazon Redshift está bloqueadoDetecte se uma Amazon SageMaker instância de notebook permite acesso direto à internetDetecte se alguma sub-rede do Amazon VPC está atribuída a um endereço IP públicoDetecte se os documentos do AWS Systems Manager de propriedade da conta são públicos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Guardrails que aprimoram a proteção da residência de dados

Essas grades de proteção eletivas complementam a postura de residência de dados da sua empresa. Ao aplicar essas grades de proteção juntas, você pode configurar seu ambiente de várias contas para ajudar a detectar e inibir a criação, compartilhamento ou cópia intencional ou acidental de dados, fora dos selecionadosAWSRegião ou regiões.

Essas grades de proteção entram em vigor no nível da UO e se aplicam a todas as contas de membros dentro da OU.

Importante

Alguns serviços de AWS de todo o mundo, como o AWS Identity and Access Management (IAM) eAWS Organizations, estão isentos dessas grades de proteção. Você pode identificar os serviços isentos analisando oRegião nega SCP, mostrado no código de exemplo. Serviços com “*” após o identificador estão isentos, pois todas as ações são permitidas quando a notação “*” é fornecida. Esse SCP contém essencialmente uma lista de ações explicitamente permitidas, e todas as outras ações são negadas. Você não pode negar o acesso à sua região de origem.

Vídeo: Habilite grades de proteção de residência de dados

Este vídeo (5:58) descreve como habilitar controles de residência de dados com as grades de proteção da AWS Control Tower. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

Tópicos

Negar acessoAWScom base no solicitadoAWSRegião

Esse corrimão é comumente chamado de guardrail de negação da região.

Essa grade de proteção proíbe o acesso a operações não listadas em serviços globais e regionais fora das regiões especificadas. Isso inclui todas as regiões em que a AWS Control Tower não está disponível, bem como todas as regiões não selecionadas para governança noConfigurações da zona de pousoPágina. As ações são permitidas normalmente em regiões comGoveradostatus.

nota

Certas globaisAWSserviços, comoAWS Identity and Access Management(IAM) eAWS Organizations, estão isentos de grades de proteção de residência de dados. Esses serviços são especificados no código de exemplo do SCP a seguir.

Este é um corrimão eletivo com orientação preventiva. É o corrimão principal associado aoNegação da regiãoação. Para obter mais informações, consulteConfigurar o corrimão de negação de região

O formato desse corrimão é baseado no seguinte SCP.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRREGIONDENY", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "budgets:*", "ce:*", "chime:*", "cloudfront:*", "config:*", "cur:*", "directconnect:*", "ec2:DescribeRegions", "ec2:DescribeTransitGateways", "ec2:DescribeVpnGateways", "fms:*", "globalaccelerator:*", "health:*", "iam:*", "importexport:*", "kms:*", "mobileanalytics:*", "networkmanager:*", "organizations:*", "chatbot:*", "pricing:*", "route53-recovery-control-config:*", "route53-recovery-readiness:*", "route53-recovery-cluster:*", "route53:*", "route53domains:*", "s3:GetBucketPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", "s3:GetStorageLensDashboard", "s3:ListStorageLensConfigurations", "s3:GetAccountPublicAccessBlock", "s3:PutAccountPublic", "s3:PutAccountPublicAccessBlock", "shield:*", "sts:*", "support:*", "trustedadvisor:*", "waf-regional:*", "waf:*", "wafv2:*", "access-analyzer:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [] }, "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Com base nesse exemplo de formato SCP, a AWS Control Tower adiciona suas regiões governadas àaws:RequestedRegionInstrução. Você não pode excluir sua região de origem. Ações não listadas no SCP não são permitidas.

Proibir o acesso à Internet para uma instância Amazon VPC gerenciada por um cliente

Essa grade de proteção proíbe o acesso à Internet para uma instância Amazon Virtual Private Cloud (VPC) gerenciada por um cliente, em vez de umaAWSServiço.

Importante

Se você provisionar contas do Account Factory com as configurações de acesso à Internet da VPC ativadas, essa configuração de Account Factory substituirá essa grade de proteção. Para evitar permitir o acesso à Internet para contas recém-provisionadas, você deve alterar a configuração no Account Factory. Para obter mais informações, consultePasso do a passo Configurar a AWS Control Tower sem uma VPC

  • Esse corrimão não se aplica às VPCs gerenciadas peloAWSServiços da .

  • As VPCs existentes que têm acesso à Internet mantêm seu acesso à Internet. Isso se aplica somente a novas instâncias. Depois que essa grade de proteção for aplicada, o acesso não poderá ser alterado.

Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

O artefato dessa proteção é a seguinte política de controle de serviço (SCP).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWVPCINTERNETACCESS", "Effect": "Deny", "Action": [ "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:CreateEgressOnlyInternetGateway", "ec2:AttachEgressOnlyInternetGateway", "ec2:CreateDefaultVpc", "ec2:CreateDefaultSubnet", "ec2:CreateCarrierGateway" ], "Resource": [ "*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Proibir conexões da Amazon Virtual Private Network (VPN)

Essa grade de proteção impede conexões de rede privada virtual (VPN) (Site-to-Site VPN e Client VPN) com uma Amazon Virtual Private Cloud (VPC).

nota

As VPCs existentes que têm acesso à Internet mantêm seu acesso à Internet.

Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

O artefato dessa proteção é a seguinte política de controle de serviço (SCP).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWVPNCONNECTIONS", "Effect": "Deny", "Action": [ "ec2:CreateVPNGateway", "ec2:AttachVPNGateway", "ec2:CreateCustomerGateway", "ec2:CreateVpnConnection", "ec2:ModifyVpnConnection", "ec2:CreateClientVpnEndpoint", "ec2:ModifyClientVpnEndpoint", "ec2:AssociateClientVpnTargetNetwork", "ec2:AuthorizeClientVpnIngress" ], "Resource": [ "*" ] } ] }

Proíba redes entre regiões para Amazon EC2, Amazon CloudFront, eAWSGlobal Accelerator

Essa grade de proteção impede a configuração de conexões de rede entre regiões do Amazon EC2, Amazon CloudFront, eAWSServiços do Global Accelerator. Ele evita o emparelhamento de VPC e o emparelhamento de gateway de trânsito.

nota

Essa grade de proteção impede o emparelhamento de VPC do Amazon EC2 e o emparelhamento do gateway de trânsito do Amazon EC2 dentro de uma única região, bem como entre regiões. Por esse motivo, esse corrimão pode afetar determinadas cargas de trabalho, além de sua postura de residência de dados.

Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

O artefato dessa proteção é a seguinte política de controle de serviço (SCP).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRDISALLOWCROSSREGIONNETWORKING", "Effect": "Deny", "Action": [ "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateTransitGatewayPeeringAttachment", "ec2:AcceptTransitGatewayPeeringAttachment", "cloudfront:CreateDistribution", "cloudfront:UpdateDistribution", "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": [ "*" ] } ] }

Detecte se os endereços IP públicos para o escalonamento automático do Amazon EC2 estão habilitados por meio de configurações de execução

Essa grade de proteção detecta se os grupos do Amazon EC2 Auto Scaling têm endereços IP públicos habilitados por meio de configurações de inicialização.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status se a configuração de inicialização de um grupo de escalonamento automático definir o valor do campoAssociatePublicIpAddressdefinir comoVerdadeiro.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether public IP addresses for Amazon EC2 Auto Scaling are enabled through launch configurations Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: AutoscalingLaunchConfigPublicIpDisabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon EC2 Auto Scaling groups have public IP addresses enabled through launch configurations. This rule is NON_COMPLIANT if the launch configuration for an Auto Scaling group has the value of the field AssociatePublicIpAddress set as True. Scope: ComplianceResourceTypes: - AWS::AutoScaling::LaunchConfiguration Source: Owner: AWS SourceIdentifier: AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

Detecte se instâncias de replicação paraAWSOs Database Migration Service de dados são

Esse corrimão detecta seAWSAs instâncias de replicação do Database Migration Service

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status se o valor doPubliclyAccessibleO campo está definido comoVerdadeiro.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether replication instances for AWS Database Migration Service are public Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: DmsReplicationNotPublic: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether AWS Database Migration Service replication instances are public. The rule is NON_COMPLIANT if the value of the PubliclyAccessible field is set as True. Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detecte se os snapshots do Amazon EBS podem ser restaurados por todosAWScontas

Este corrimão detecta se todosAWSas contas têm acesso para restaurar os snapshots do Amazon EBS.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status se algum instantâneo tiver aRestorableByUserIdscampo definido para o valorTudo. Nesse caso, os snapshots do Amazon EBS são públicos.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether Amazon EBS snapshots are restorable by all AWS accounts Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EbsSnapshotPublicRestorableCheck: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether all AWS accounts have access to restore Amazon EBS snapshots. The rule is NON_COMPLIANT if any snapshots have the RestorableByUserIds field set to the value All. In that case, the Amazon EBS snapshots are public. Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detecte se alguma instância do Amazon EC2 tem um endereço IPv4 público associado

Essa grade de proteção detecta se uma instância do Amazon Elastic Compute Cloud (Amazon EC2) tem um endereço IPv4 público associado. Esse corrimão se aplica somente a endereços IPv4.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status se o campo IP público estiver presente no item de configuração da instância do Amazon EC2.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether any Amazon EC2 instance has an associated public IPv4 address Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: Ec2InstanceNoPublicIp: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an Amazon Elastic Compute Cloud (Amazon EC2) instance has an associated public IPv4 address. The rule is NON_COMPLIANT if the public IP field is present in the Amazon EC2 instance configuration item. Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP

Detecte se as configurações do Amazon S3 para bloquear o acesso público estão definidas como verdadeiras para a conta

Essa grade de proteção detecta periodicamente se as configurações necessárias do Amazon S3 para bloquear o acesso público estão configuradas como verdadeiras para a conta, e não para um bucket ou um ponto de acesso.

No console do :

  • A regra mostraincompatível:status se pelo menos uma das configurações for falsa.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to check whether Amazon S3 settings to block public access are set as true for the account. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' PublicAccessBlockSetting: Type: 'String' Default: 'True' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForS3PublicAccessBlock: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks the Amazon S3 settings to block public access are set as true for the account. The rule is non-compliant if at-least one of the settings is false. Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Scope: ComplianceResourceTypes: - AWS::S3::AccountPublicAccessBlock InputParameters: IgnorePublicAcls: !Ref PublicAccessBlockSetting BlockPublicPolicy: !Ref PublicAccessBlockSetting BlockPublicAcls: !Ref PublicAccessBlockSetting RestrictPublicBuckets: !Ref PublicAccessBlockSetting MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detecta se o acesso público a um endpoint do Amazon EKS está bloqueado

Essa grade de proteção detecta se um endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) está bloqueado do acesso público.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status se o endpoint estiver acessível publicamente.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon EKS endpoint is blocked from public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EKSEndpointNoPublicAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether an Amazon Elastic Kubernetes Service (Amazon EKS) endpoint is publicly accessible. The rule is NON_COMPLIANT if the endpoint is publicly accessible. Source: Owner: AWS SourceIdentifier: EKS_ENDPOINT_NO_PUBLIC_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detecte se uma Amazon OpenSearch O domínio do serviço está no Amazon VPC

Esse corrimão detecta se uma Amazon OpenSearch O domínio do serviço está no Amazon VPC.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:Status da se o OpenSearchO endpoint do domínio de serviço é público.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon OpenSearch Service domain is in Amazon VPC Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: ElasticsearchInVpcOnly: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon OpenSearch Service domains are in Amazon Virtual Private Cloud (Amazon VPC). The rule is NON_COMPLIANT if the OpenSearch Service domain endpoint is public. Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detecte se algum nó principal do cluster Amazon EMR tem endereços IP públicos

Esse guardrail detecta se algum nó principal do cluster Amazon EMR tem endereços IP públicos.

Essa é uma proteção detectora com orientação eletiva. Por padrão, esse guardrail não está habilitado em nenhuma OUs

No console do :

  • A regra mostraincompatível:status se um nó principal tiver um endereço IP público.

  • Essa grade de proteção verifica os clusters que estão no estado RUNNING ou WAITING.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether any Amazon EMR cluster master nodes have public IP addresses Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: EmrMasterNoPublicIp: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether any Amazon Elastic MapReduce (EMR) cluster master nodes have public IP addresses. The rule is NON_COMPLIANT if a master node has a public IP. This guardrail checks clusters that are in RUNNING or WAITING state. Source: Owner: AWS SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detectar se oAWSA política de função do Lambda anexada ao recurso Lambda bloqueia o acesso público

Esse corrimão detecta se oAWSA política de funções do Lambda anexada ao recurso Lambda bloqueia o acesso público.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status se a política de funções do Lambda permitir acesso público.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether the AWS Lambda function policy attached to the Lambda resource blocks public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: LambdaFunctionPublicAccessProhibited: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether the AWS Lambda function policy attached to the Lambda resource prohibits public access. The rule is NON_COMPLIANT if the Lambda function policy allows public access. Scope: ComplianceResourceTypes: - AWS::Lambda::Function Source: Owner: AWS SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Detecte se existem rotas públicas na tabela de rotas de um Internet Gateway (IGW)

Essa grade de proteção detecta se existem rotas públicas na tabela de rotas associada a um Internet Gateway (IGW).

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status se uma rota tiver um bloco CIDR de destino de0.0.0.0/0ou::/0ou se um bloco CIDR de destino não corresponder ao parâmetro da regra.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether public routes exist in the route table for an Internet Gateway (IGW) Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: NoUnrestrictedRouteToIgw: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether public routes exist in the route table associated with an Internet Gateway (IGW). The rule is NON_COMPLIANT if a route has a destination CIDR block of '0.0.0.0/0' or '::/0' or if a destination CIDR block does not match the rule parameter. Scope: ComplianceResourceTypes: - AWS::EC2::RouteTable Source: Owner: AWS SourceIdentifier: NO_UNRESTRICTED_ROUTE_TO_IGW

Detecte se o acesso público aos clusters do Amazon Redshift está bloqueado

Essa grade de proteção detecta se o acesso público aos clusters do Amazon Redshift está bloqueado.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:Status da se opubliclyAccessibleO campo está definido comoVerdadeirono item de configuração do cluster.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether Amazon Redshift clusters are blocked from public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: RedshiftClusterPublicAccessCheck: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon Redshift clusters are blocked from public access. The rule is NON_COMPLIANT if the publiclyAccessible field is true in the cluster configuration item. Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Detecte se uma Amazon SageMaker instância de notebook permite acesso direto à internet

Esse corrimão detecta se uma Amazon SageMaker instância de notebook permite acesso direto à internet.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status da Amazon SageMakerinstâncias de notebook permitem acesso direto à Internet.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether an Amazon SageMaker notebook instance allows direct internet access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: SagemakerNotebookNoDirectInternetAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether direct internet access is allowed for an Amazon SageMaker notebook instance. The rule is NON_COMPLIANT if Amazon SageMaker notebook instances allow direct internet access. Source: Owner: AWS SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detecte se alguma sub-rede do Amazon VPC está atribuída a um endereço IP público

Essa grade de proteção detecta se as sub-redes do Amazon Virtual Private Cloud (Amazon VPC) recebem um endereço IP público.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

No console do :

  • A regra mostraincompatível:status se o Amazon VPC tiver sub-redes às quais um endereço IP público é atribuído.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Detect whether any Amazon VPC subnets are assigned a public IP address Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: SubnetAutoAssignPublicIpDisabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether Amazon Virtual Private Cloud (Amazon VPC) subnets are assigned a public IP address. The rule is NON_COMPLIANT if Amazon VPC has subnets that are assigned a public IP address. Scope: ComplianceResourceTypes: - AWS::EC2::Subnet Source: Owner: AWS SourceIdentifier: SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

Detecte se os documentos do AWS Systems Manager de propriedade da conta são públicos

Essa grade de proteção detecta se os documentos do AWS Systems Manager de propriedade da conta são públicos.

Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada em todas as UOs.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rule to detect whether AWS Systems Manager documents owned by the account are public Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency at which AWS Config will run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: SsmDocumentNotPublic: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Detects whether AWS Systems Manager (SSM) documents owned by the account are public. This rule is NON_COMPLIANT if any documents with owner 'Self' are public. Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency