Proteções eletivas - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções eletivas

As proteções eletivas permitem que você bloqueie ou monitore tentativas de ações normalmente restritas em um ambiente corporativo da AWS. Essas proteções não são habilitadas por padrão e podem ser desabilitadas. A seguir, você encontrará uma referência para as proteções eletivas disponíveis na AWS Control Tower. As grades de proteção eletivas especificamente para residência de dados são coletadas em uma seção separada,Guardrails que aprimoram a proteção da residência de dados.

Não permitir alterações na configuração de criptografia para buckets do Amazon S3 [Anteriormente: Habilitar criptografia em repouso no arquivamento de logs]

Essa proteção desautoriza alterações feitas na criptografia de todos os buckets do Amazon S3. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a seguinte política de controle de serviço (SCP).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETENCRYPTIONENABLED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração de log para buckets do Amazon S3 [Anteriormente: Habilitar log de acesso ao arquivamento de logs]

Essa proteção não permite fazer alterações na configuração do Amazon S3 para todos os buckets do Amazon S3. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETLOGGINGENABLED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na política de bucket para buckets do Amazon S3 [Anteriormente: Desautorizar alterações na política do arquivamento de logs]

Esse guarda-corpo proíbe alterações na política de bucket para todos os buckets do Amazon S3. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração do ciclo de vida para buckets do Amazon S3 [Anteriormente: Definir uma política de retenção de arquivamento de logs]

Esse guarda-corpo proíbe alterações na configuração do ciclo de vida para todos os buckets do Amazon S3. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETRETENTIONPOLICY", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração de replicação para buckets do Amazon S3

Impede alterações na forma como seus buckets do Amazon S3 foram configurados para lidar com a replicação dentro de regiões ou entre regiões. Por exemplo, se você configurar seus buckets com replicação de região única, para restringir a localização dos dados do Amazon S3 a uma única região da AWS (desativando, assim, qualquer cópia automática e assíncrona de objetos entre buckets para outras regiões da AWS), esse guardrail impedirá que a configuração de replicação seja alterado. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3CROSSREGIONREPLICATION", "Effect": "Deny", "Action": [ "s3:PutReplicationConfiguration" ], "Resource": [ "*" ] } ] }

Não permitir a exclusão de ações em buckets do Amazon S3 sem a MFA

Protege seus buckets do Amazon S3 ao exigir a MFA para ações de exclusão. A MFA requer um código de autenticação extra depois que o nome de usuário e a senha são bem-sucedidos. Essa é uma proteção preventiva com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTS3DELETEWITHOUTMFA", "Effect": "Deny", "Action": [ "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": [ "false" ] } } } ] }

Detectar se a MFA está habilitada paraAWSUsuários do IAM

Essa proteção detecta se a MFA está habilitada para oAWSIamUser. Você pode proteger sua conta exigindo a MFA para todosAWSUsuários do IAM na conta. A MFA requer um código de autenticação adicional depois que o nome de usuário e a senha forem bem-sucedidos. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether the IAM users have MFA enabled Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the AWS Identity and Access Management users have multi-factor authentication (MFA) enabled. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detectar se a MFA está habilitada paraAWSUsuários do IAM doAWSConsole do

Protege sua conta exigindo a MFA para todosAWSUsuários do IAM no console. A MFA reduz os riscos de vulnerabilidade de uma autenticação fraca exigindo outro código de autenticação depois do nome de usuário e da senha serem bem-sucedidos. Essa proteção detecta se a MFA está habilitada. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether MFA is enabled for all AWS IAM users that use a console password. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 1hour Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForIAMUserConsoleMFA: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether AWS Multi-Factor Authentication (MFA) is enabled for all AWS Identity and Access Management (IAM) users that use a console password. The rule is COMPLIANT if MFA is enabled. Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detectar se o versionamento para buckets do Amazon S3 está habilitado

Detecta se seus buckets do Amazon S3 estão habilitados para versionamento. O versionamento permite que você recupere objetos de uma exclusão ou substituição acidental. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação eletiva. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether versioning is enabled for your S3 buckets. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3VersioningEnabled: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether versioning is enabled for your S3 buckets. Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Scope: ComplianceResourceTypes: - AWS::S3::Bucket