Referência da proteção - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Referência da proteção

As seções a seguir incluem uma referência para cada uma das proteções disponíveis no AWS Control Tower. Cada referência de proteção inclui os detalhes, os artefatos, as informações adicionais e as considerações para se ter em mente quando se habilita determinada proteção em uma UO na sua landing zone.

Dois guardas obrigatórios são detetives, os outros são preventivos.

  • Detectar configuração de acesso de leitura público para arquivamento de log

  • Detectar configuração de acesso de gravação pública para arquivamento de log

nota

Os quatro guardas obrigatórios com"Sid": "GRCLOUDTRAILENABLED"são idênticos pelo design. O código de exemplo está correto.

Dois guardas altamente recomendados são preventivos, os outros são detetive. Por padrão, essas proteções não estão habilitadas.

  • Não permitir a criação de chaves de acesso para o usuário raiz

  • Não permitir ações como usuário raiz

Seis guardas eletivos são preventivos, os outros são detetive. Por padrão, essas proteções não estão habilitadas.

  • Não permitir alterações na configuração de replicação para buckets do Amazon S3

  • Não permitir a exclusão de ações em buckets do Amazon S3 sem a MFA

  • Não permitir alterações na configuração de criptografia para buckets do Amazon S3 [Anteriormente: Habilitar criptografia em repouso no arquivamento de logs]

  • Não permitir alterações na configuração de log para buckets do Amazon S3 [Anteriormente: Habilitar log do acesso ao arquivamento de logs]

  • Não permitir alterações na política de bucket para buckets do Amazon S3 [Anteriormente: Não permitir alterações na política do arquivamento de logs]

  • Não permitir alterações na configuração do ciclo de vida para buckets do Amazon S3 [Anteriormente: Definir uma política de retenção de arquivamento de logs]