Proteções obrigatórias - AWS Control Tower
Não permitir alterações na configuração de criptografia para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logsNão permitir alterações na configuração de log para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs Não permitir alterações na política de bucket para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs Não permitir alterações na configuração do ciclo de vida para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logsNão permitir alterações nos grupos de log do Amazon CloudWatch Logs configurados pela AWS Control TowerNão permitir a exclusão de autorizações de agregação do AWS Config criadas pela AWS Control TowerNão permitir a exclusão do arquivamento de logDetectar a configuração de acesso de leitura pública para arquivamentoDetectar a configuração de acesso de gravação pública para arquivamentoDesautorizar alterações na configuração do CloudTrailIntegre eventos do CloudTrail com o Amazon CloudWatch LogsHabilitar o CloudTrail em todas as regiões disponíveisHabilitar validação de integridade do arquivo de log do CloudTrailNão permitir alterações no Amazon CloudWatch configurado pela AWS Control TowerNão permitir alterações em tags criadas pela AWS Control Tower paraAWS ConfigRecursosDesautorizar alterações na configuração do AWS ConfigHabilitar AWS Config em todas as regiões disponíveisDesautorizar alterações noAWS Config RulesConfigurado pela AWS Control TowerNão permitir alterações nas funções do AWS IAM configuradas pela AWS Control Tower e pelo AWS CloudFormationNão permitir alterações nas funções do AWS Lambda configuradas pela AWS Control TowerNão permitir alterações no Amazon SNS configurado pela AWS Control TowerNão permitir alterações nas assinaturas do Amazon SNS configuradas pela AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções obrigatórias

As proteções obrigatórias são habilitadas por padrão quando você configurar sua landing zone e não podem ser desabilitadas. A seguir, você encontrará uma referência para cada uma das proteções obrigatórias disponíveis na AWS Control Tower.

Tópicos

nota

Os quatro guardrails obrigatórios com"Sid": "GRCLOUDTRAILENABLED"São idênticos pelo design. O código de amostra está correto.

Não permitir alterações na configuração de criptografia para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs

Essa proteção impede alterações na criptografia para os buckets do Amazon S3 que o AWS Control Tower cria na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na UO de segurança. Ele não pode ser habilitado em UOs adicionais.

O artefato dessa proteção é a seguinte política de controle de serviço (SCP).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração de log para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs

Essa proteção impede alterações na configuração de registro em log para os buckets do Amazon S3 que o AWS Control Tower cria na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na UO de segurança. Ele não pode ser habilitado em UOs adicionais.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na política de bucket para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs

Essa proteção impede alterações na política de bucket para os buckets do Amazon S3 que o AWS Control Tower cria na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na UO de segurança. Ele não pode ser habilitado em UOs adicionais.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração do ciclo de vida para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs

Essa proteção impede alterações na configuração do ciclo de vida para os buckets do Amazon S3 que o AWS Control Tower cria na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na UO de segurança. Ele não pode ser habilitado em UOs adicionais.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações nos grupos de log do Amazon CloudWatch Logs configurados pela AWS Control Tower

Esta proteção impede alterações na política de retenção para grupos de log do Amazon CloudWatch Logs que a AWS Control Tower criou na conta de arquivamento de logs quando você configura a landing zone. Ela também impede a modificação da política de retenção de registros em contas de clientes. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Não permitir a exclusão de autorizações de agregação do AWS Config criadas pela AWS Control Tower

Essa proteção impede a exclusão de autorizações de agregação do AWS Config que a AWS Control Tower criou na conta de auditoria quando você configura sua landing zone. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

Não permitir a exclusão do arquivamento de log

Essa proteção impede a exclusão de buckets do Amazon S3 criados pela AWS Control Tower na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada naSegurançaOU.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Detectar a configuração de acesso de leitura pública para arquivamento

Essa proteção detecta se o acesso público de leitura está habilitado para os buckets do Amazon S3 na conta compartilhada de arquivamento de logs. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação obrigatória. Por padrão, essa proteção está habilitada naSegurançaOU.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Detectar a configuração de acesso de gravação pública para arquivamento

Essa proteção detecta se o acesso público de gravação está habilitado para os buckets do Amazon S3 na conta compartilhada de arquivamento de logs. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação obrigatória. Por padrão, essa proteção está habilitada naSegurançaOU.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Desautorizar alterações na configuração do CloudTrail

Essa proteção impede alterações de configuração no CloudTrail na sua landing zone. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Integre eventos do CloudTrail com o Amazon CloudWatch Logs

Essa proteção realiza análises em tempo real de dados de atividade enviando eventos do CloudTrail para arquivos de log do CloudWatch Logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Habilitar o CloudTrail em todas as regiões disponíveis

Essa proteção habilita o CloudTrail em todas as regiões da AWS disponíveis. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Habilitar validação de integridade do arquivo de log do CloudTrail

Essa proteção permite a validação da integridade do arquivo de log do CloudTrail em todas as contas e UOs. Ela protege a integridade dos logs de atividade da conta usando a validação de arquivos de log do CloudTrail, que cria um arquivo de resumo de assinatura digital que contém um hash de cada log gravado pelo CloudTrail no Amazon S3. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações no Amazon CloudWatch configurado pela AWS Control Tower

Essa proteção desautoriza alterações no Amazon CloudWatch, pois ela foi configurada pela AWS Control Tower quando você configura sua landing zone. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações em tags criadas pela AWS Control Tower paraAWS ConfigRecursos

Essa proteção impede alterações feitas nas tags que a AWS Control Tower criou ao configurar sua landing zone, paraAWS ConfigRecursos que coletam dados de configuração e compatibilidade. Ele nega qualquerTagResourceeUntagResourceOperação para autorizações de agregação marcadas pela AWS Control Tower. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }

Desautorizar alterações na configuração do AWS Config

Essa proteção impede alterações na configuração doAWS Config. Isso garante que o AWS Config registre configurações de recursos de maneira consistente desautorizando alterações feitas nas configurações do AWS Config. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Habilitar AWS Config em todas as regiões disponíveis

Essa proteção habilita AWS Config em todas as regiões da AWS disponíveis. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Desautorizar alterações noAWS Config RulesConfigurado pela AWS Control Tower

Essa proteção não permite fazer alterações naAWS Config RulesAs quais foram implementadas pela AWS Control Tower quando a landing zone foi configurada. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

Não permitir alterações nas funções do AWS IAM configuradas pela AWS Control Tower e pelo AWS CloudFormation

Essa proteção desautoriza alterações feitas nas funções do IAM da AWS que a AWS Control Tower criou quando a landing zone foi configurada. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

Atualização do proteções

Uma versão atualizada foi lançada para o corrimão obrigatórioAWS-GR_IAM_ROLE_CHANGE_PROHIBITED.

Essa alteração no guardrail é necessária porque as contas em OUs que estão sendo inscritas na AWS Control Tower devem ter oAWSControlTowerExecutionfunção ativada. A versão anterior do corrimão impede que essa função seja criada.

A AWS Control Tower atualizou a guardrail existente para adicionar uma exceção para queAWS CloudFormationStackSets podem criar oAWSControlTowerExecutionFunção do . Como segunda medida, este novo corrimão protege oStackSeto papel de evitar que os diretores na conta de criança obtenham acesso.

A nova versão do guardrail executa as seguintes ações, além de todas as ações fornecidas na versão anterior:

  • Permite ostacksets-exec-*função (de propriedade deAWS CloudFormation) para executar ações em funções do IAM que foram criadas pela AWS Control Tower.

  • Evita alterações em qualquer função do IAM em contas filhas, em que o nome da função do IAM corresponde ao padrãostacksets-exec-*.

A atualização para a versão guardrail afeta suas OUs e contas da seguinte maneira:

  • Se você estender a governança para uma UO, essa OU recebida receberá a versão atualizada do guardrail como parte do processo de registro. Você não precisa atualizar sua landing zone para obter a versão mais recente desta UO. A AWS Control Tower aplica a versão mais recente automaticamente às OUs que se registram.

  • Se você atualizar ou reparar sua landing zone a qualquer momento após este lançamento, seu guardrail será atualizado para esta versão para provisionamento futuro.

  • As OUs criadas ou registradas na AWS Control Tower antes desta data de lançamento, e que fazem parte de uma landing zone que não foi reparada ou atualizada após a data de lançamento, continuarão operando com a versão antiga do corrimão, que bloqueia a criação doAWSControlTowerExecutionFunção do .

  • Uma consequência dessa atualização de guardrail é que suas OUs podem estar funcionando com diferentes versões do guardrail. Atualize sua landing zone para aplicar a versão atualizada do guardrail às suas OUs uniformemente.

O artefato do proteção atualizado é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }

O artefato anterior dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações nas funções do AWS Lambda configuradas pela AWS Control Tower

Essa proteção não permite fazer alterações na configuração de funções do AWS Lambda configuradas pela AWS Control Tower. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações no Amazon SNS configurado pela AWS Control Tower

Essa proteção não permite fazer alterações no Amazon SNS configuradas pela AWS Control Tower. Ela protege a integridade das configurações de notificação do Amazon SNS da sua landing zone. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações nas assinaturas do Amazon SNS configuradas pela AWS Control Tower

Essa proteção não permite fazer alterações na configuração de inscrições do Amazon SNS configuradas pela AWS Control Tower. Ela protege a integridade das configurações de inscrição do Amazon SNS da sua landing zone, para acionar notificações do paraAWS Config RulesAlterações de conformidade. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }