Proteções eletivas - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções eletivas

As proteções eletivas permitem que você bloqueie ou monitore tentativas de ações normalmente restritas em um ambiente corporativo da AWS. Essas proteções não são habilitadas por padrão e podem ser desabilitadas. A seguir, você encontrará uma referência para cada uma das proteções eletivas disponíveis no AWS Control Tower.

Não permitir alterações na configuração de criptografia para buckets do Amazon S3 [Anteriormente: Habilitar criptografia em repouso no arquivamento de logs]

Essa proteção não permite fazer alterações na criptografia de todos os buckets do Amazon S3. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a seguinte política de controle de serviço (SCP).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETENCRYPTIONENABLED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração de log para buckets do Amazon S3 [Anteriormente: Habilitar log do acesso ao arquivamento de logs]

Essa proteção não permite fazer alterações na configuração de log do para todos os buckets do Amazon S3. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETLOGGINGENABLED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na política de bucket para buckets do Amazon S3 [Anteriormente: Não permitir alterações na política do arquivamento de logs]

Esse guardrail não permite alterações na política de bucket para todos os buckets do Amazon S3. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração do ciclo de vida para buckets do Amazon S3 [Anteriormente: Definir uma política de retenção de arquivamento de logs]

Esse guardrail não permite alterações na configuração do ciclo de vida para todos os buckets do Amazon S3. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETRETENTIONPOLICY", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração de replicação para buckets do Amazon S3

Impede alterações na forma como seus buckets do Amazon S3 foram configurados para lidar com a replicação dentro de Regiões ou entre Regiões. Por exemplo, se você configurar seus buckets com replicação de uma única região, para restringir a localização dos dados do Amazon S3 para uma única região da AWS (desativando qualquer cópia automática e assíncrona de objetos entre buckets para outras regiões da AWS), esse guardrail impede que essa configuração de replicação seja Alterou. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION", "Effect": "Deny", "Action": [ "s3:PutReplicationConfiguration" ], "Resource": [ "*" ] } ] }

Não permitir a exclusão de ações em buckets do Amazon S3 sem a MFA

Protege seus buckets do Amazon S3 exigindo a MFA para ações de exclusão. A MFA requer um código de autenticação extra após o nome de usuário e senha do são bem-sucedidos. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3DELETEWITHOUTMFA", "Effect": "Deny", "Action": [ "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": [ "false" ] } } } ] }

Detectar se a MFA está habilitada para usuários do AWS IAM

Essa proteção detecta se a MFA está habilitada para AWS IAMUUsers. Você pode proteger sua conta exigindo a MFA para todos os usuários do AWS IAM na conta. A MFA requer um código de autenticação adicional depois que o nome de usuário e a senha são bem-sucedidos. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether the IAM users have MFA enabled Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detectar se a MFA está habilitada para usuários do AWS IAM do Console da AWS

Protege sua conta exigindo a MFA para todos os usuários do AWS IAM no console. A MFA reduz os riscos de vulnerabilidade de uma autenticação fraca exigindo outro código de autenticação depois que o nome de usuário e a senha do são bem-sucedidos. Essa proteção detecta se a MFA está habilitada. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserConsoleMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detectar se o controle de versão para buckets do Amazon S3 está ativado

Detecta se seus buckets do Amazon S3 estão habilitados para controle de versão. O versionamento permite que você recupere objetos de uma exclusão ou substituição acidental. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3VersioningEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether versioning is enabled for your S3 buckets. Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Scope: ComplianceResourceTypes: - AWS::S3::Bucket