Proteções obrigatórias - AWS Control Tower
Não permitir alterações na configuração de criptografia para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logsNão permitir alterações na configuração de log para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs Não permitir alterações na política de bucket para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de registros Não permitir alterações na configuração do ciclo de vida para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logsDesautorizar alterações feitas no Amazon CloudWatch Grupos de logs de logs configurados pelo AWS Control TowerNão permitir a exclusão das autorizações de agregação do AWS Config criadas pela AWS Control TowerNão permitir a exclusão do arquivamento de logDetectar configuração de acesso de leitura pública para arquivamento de registrosDetectar configuração de acesso público de gravação para arquivamento de registrosDesautorizar alterações na configuração do CloudTrailIntegrar CloudTrail Eventos com a Amazon CloudWatch LogsHabilitar o CloudTrail em todas as regiões disponíveisHabilitar validação da integridade do arquivo de log do CloudTrail .Desautorizar alterações feitas no Amazon CloudWatchConfigurada pela AWS Control TowerNão permitir alterações em tags criadas pela AWS Control Tower paraAWS ConfigRecursosDesautorizar alterações na configuração do AWS ConfigHabilitar AWS Config em todas as regiões disponíveisDesautorizar alterações feitas noAWS Config RulesConfigurada pela AWS Control TowerNão permitir alterações nas funções do AWS IAM configuradas pela AWS Control Tower e pela AWS CloudFormationNão permitir alterações nas funções do AWS Lambda configuradas pela AWS Control TowerNão permitir alterações na configuração do Amazon SNS pela AWS Control TowerNão permitir alterações nas assinaturas do Amazon SNS configuradas pela AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções obrigatórias

As proteções obrigatórias são habilitadas por padrão quando você configura sua landing zone e não podem ser desabilitadas. A seguir, você encontrará uma referência para cada uma das proteções obrigatórias disponíveis no AWS Control Tower.

Tópicos

nota

As quatro grades de proteção obrigatórias com"Sid": "GRCLOUDTRAILENABLED"são idênticas no design. O código de amostra está correto.

Não permitir alterações na configuração de criptografia para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs

Essa proteção impede alterações na criptografia para buckets do Amazon S3 que o AWS Control Tower cria na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na UO de segurança (Básica). Ela não pode ser habilitada em UOs adicionais.

O artefato dessa proteção é a seguinte política de controle de serviço (SCP).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETENCRYPTIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração de log para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs

Essa proteção impede alterações na configuração de registro em log para buckets do Amazon S3 que o AWS Control Tower cria na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na UO de segurança (Básica). Ela não pode ser habilitada em UOs adicionais.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLOGGINGCONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketLogging" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na política de bucket para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de registros

Essa proteção impede alterações na política de bucket para os buckets do Amazon S3 que o AWS Control Tower cria na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na UO de segurança (Básica). Ela não pode ser habilitada em UOs adicionais.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETPOLICYCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração do ciclo de vida para buckets do Amazon S3 criados pela AWS Control Tower no arquivamento de logs

Essa proteção impede alterações na configuração do ciclo de vida dos buckets do Amazon S3 que o AWS Control Tower cria na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na UO de segurança (Básica). Ela não pode ser habilitada em UOs adicionais.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCTAUDITBUCKETLIFECYCLECONFIGURATIONCHANGESPROHIBITED", "Effect": "Deny", "Action": [ "s3:PutLifecycleConfiguration" ], "Resource": ["arn:aws:s3:::aws-controltower*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Desautorizar alterações feitas no Amazon CloudWatch Grupos de logs de logs configurados pelo AWS Control Tower

Esse guarda-corpo evita alterações na política de retenção da Amazon CloudWatchGrupos de log que a AWS Control Tower criou na conta de arquivamento de logs quando você configura sua landing zone. Ela também impede a modificação da política de retenção de log nas contas dos clientes. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLOGGROUPPOLICY", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:*aws-controltower*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] } } } ] }

Não permitir a exclusão das autorizações de agregação do AWS Config criadas pela AWS Control Tower

Essa proteção impede a exclusão de autorizações de agregação do AWS Config que a AWS Control Tower criou na conta de auditoria quando você configura a landing zone do AWS Config. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGAGGREGATIONAUTHORIZATIONPOLICY", "Effect": "Deny", "Action": [ "config:DeleteAggregationAuthorization" ], "Resource": [ "arn:aws:config:*:*:aggregation-authorization*" ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringLike": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

Não permitir a exclusão do arquivamento de log

Essa proteção impede a exclusão de buckets do Amazon S3 criados pelo AWS Control Tower na conta de arquivamento de logs. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada na proteção está habilitada naSegurançaOU.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRAUDITBUCKETDELETIONPROHIBITED", "Effect": "Deny", "Action": [ "s3:DeleteBucket" ], "Resource": [ "arn:aws:s3:::aws-controltower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Detectar configuração de acesso de leitura pública para arquivamento de registros

Essa proteção detecta se o acesso público de leitura está habilitado para os buckets do Amazon S3 na conta compartilhada de arquivamento de logs. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação obrigatória. Por padrão, essa proteção está habilitada na proteção está habilitada naSegurançaOU.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Detectar configuração de acesso público de gravação para arquivamento de registros

Essa proteção detecta se o acesso público de gravação está habilitado para os buckets do Amazon S3 na conta compartilhada de arquivamento de logs. Essa proteção não altera o status da conta. Essa é uma proteção detectora com orientação obrigatória. Por padrão, essa proteção está habilitada na proteção está habilitada naSegurançaOU.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Desautorizar alterações na configuração do CloudTrail

Essa proteção impede alterações de configuração no CloudTrail na sua landing zone. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Integrar CloudTrail Eventos com a Amazon CloudWatch Logs

Essa proteção realiza análises em tempo real de dados de atividade enviando CloudTraileventos para CloudWatch Registra os arquivos de log. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção está habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Habilitar o CloudTrail em todas as regiões disponíveis

Este guarda-corpo permite CloudTrail em todas as regiões da AWS disponíveis. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Habilitar validação da integridade do arquivo de log do CloudTrail .

Essa proteção permite a validação da integridade do CloudTrail arquivo de log em todas as contas e UOs. Ela protege a integridade dos logs de atividade da conta usando o CloudTrailvalidação de arquivos de log do, o qual cria um arquivo de resumo de assinatura digital que contém um hash de cada log que CloudTrail grava no Amazon S3. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDTRAILENABLED", "Effect": "Deny", "Action": [ "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": ["arn:aws:cloudtrail:*:*:trail/aws-controltower-*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Desautorizar alterações feitas no Amazon CloudWatchConfigurada pela AWS Control Tower

Essa proteção não permite fazer alterações na Amazon CloudWatch como foi configurado pelo AWS Control Tower quando você configurar sua landing zone. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCLOUDWATCHEVENTPOLICY", "Effect": "Deny", "Action": [ "events:PutRule", "events:PutTargets", "events:RemoveTargets", "events:DisableRule", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações em tags criadas pela AWS Control Tower paraAWS ConfigRecursos

Essa proteção impede alterações nas tags que a AWS Control Tower criou ao configurar sua landing zone, para oAWS Configrecursos que coletam dados de configuração e compatibilidade do. Ele nega qualquerTagResourceeUntagResourceoperação para autorizações de agregação marcadas pelo AWS Control Tower. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULETAGSPOLICY", "Effect": "Deny", "Action": [ "config:TagResource", "config:UntagResource" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "ForAllValues:StringEquals": { "aws:TagKeys": "aws-control-tower" } } } ] }

Desautorizar alterações na configuração do AWS Config

Essa proteção impede alterações de configuração noAWS Config. Isso garante que o AWS Config registre configurações de recursos de maneira consistente desautorizando alterações feitas nas configurações do AWS Config. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Habilitar AWS Config em todas as regiões disponíveis

Essa proteção habilita AWS Config em todas as regiões da AWS disponíveis. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGENABLED", "Effect": "Deny", "Action": [ "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteRetentionConfiguration", "config:PutConfigurationRecorder", "config:PutDeliveryChannel", "config:PutRetentionConfiguration", "config:StopConfigurationRecorder" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Desautorizar alterações feitas noAWS Config RulesConfigurada pela AWS Control Tower

Essa proteção não permite fazer alterações naAWS Config Rulesque foram implementadas pela AWS Control Tower quando a landing zone foi configurada. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRCONFIGRULEPOLICY", "Effect": "Deny", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:DeleteEvaluationResults", "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator" ], "Resource": ["*"], "Condition": { "ArnNotLike": { "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution" }, "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } } ] }

Não permitir alterações nas funções do AWS IAM configuradas pela AWS Control Tower e pela AWS CloudFormation

Essa proteção não permite fazer alterações na AWS IAM que a AWS Control Tower criou quando a landing zone foi configurada. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

Atualização da proteção

Uma versão atualizada foi lançada para o guarda-corpo obrigatórioAWS-GR_IAM_ROLE_CHANGE_PROHIBITED.

Essa alteração no guardrail é necessária porque as contas em OUs que estão sendo registradas na AWS Control Tower devem ter oAWSControlTowerExecutionfunção habilitada. A versão anterior do guarda-corpo impede que essa função seja criada.

A AWS Control Tower atualizou o guarda-corpo existente para adicionar uma exceção para queAWS CloudFormation StackSetspode criar oAWSControlTowerExecutionFunção do . Como segunda medida, esse novo guarda-corpo protege oStackSeté o papel de impedir que os diretores na conta da criança obtenham acesso.

A nova versão do guarda-corpo executa as seguintes ações, além de todas as ações fornecidas na versão anterior:

  • Permite ostacksets-exec-*role (de propriedade deAWS CloudFormation) para executar ações em funções do IAM que foram criadas pela AWS Control Tower.

  • Impede alterações em qualquer função do IAM em contas secundárias, em que o nome da função do IAM corresponde ao padrãostacksets-exec-*.

A atualização da versão do guardrail afeta suas OUs e contas da seguinte maneira:

  • Se você estender a governança a uma OU, essa OU de entrada receberá a versão atualizada do guarda-corpo como parte do processo de registro. Você não precisa atualizar sua landing zone para obter a versão mais recente desta OU. A AWS Control Tower aplica a versão mais recente automaticamente às OUs que se registram.

  • Se você atualizar ou reparar sua landing zone a qualquer momento após este lançamento, seu guarda-corpo será atualizado para esta versão para provisionamento future.

  • OUs criadas ou registradas na AWS Control Tower antes desta data de lançamento, e que fazem parte de uma landing zone que não foi reparada ou atualizada após a data de lançamento, continuarão a operar com a versão antiga do guarda-corpo, que bloqueia a criação doAWSControlTowerExecutionFunção do .

  • Uma consequência dessa atualização do guarda-corpo é que suas OUs podem estar funcionando com diferentes versões do guarda-corpo. Atualize sua landing zone para aplicar a versão atualizada do guarda-corpo às suas OUs de maneira uniforme.

O artefato do proteto atualizado é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ], "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" #this line is new ] } } } ] }

O artefato anterior dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRIAMROLEPOLICY", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações nas funções do AWS Lambda configuradas pela AWS Control Tower

Essa proteção não permite fazer alterações na configuração do AWS Lambda pela AWS Control Tower. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRLAMBDAFUNCTIONPOLICY", "Effect": "Deny", "Action": [ "lambda:AddPermission", "lambda:CreateEventSourceMapping", "lambda:CreateFunction", "lambda:DeleteEventSourceMapping", "lambda:DeleteFunction", "lambda:DeleteFunctionConcurrency", "lambda:PutFunctionConcurrency", "lambda:RemovePermission", "lambda:UpdateEventSourceMapping", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration" ], "Resource": [ "arn:aws:lambda:*:*:function:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações na configuração do Amazon SNS pela AWS Control Tower

Essa proteção desautoriza alterações feitas no Amazon SNS do configuradas pela AWS Control Tower. Ela protege a integridade das configurações de notificação do Amazon SNS para a sua landing zone. Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSTOPICPOLICY", "Effect": "Deny", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:RemovePermission", "sns:SetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-*" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }

Não permitir alterações nas assinaturas do Amazon SNS configuradas pela AWS Control Tower

Essa proteção não permite fazer alterações na configuração do Amazon SNS pela AWS Control Tower. Ela protege a integridade das configurações de inscrição do Amazon SNS para a sua landing zone, para acionar notificações para oAWS Config Rulesmudanças de conformidade do Essa é uma proteção preventiva com orientação obrigatória. Por padrão, essa proteção é habilitada em todas as UOs.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRSNSSUBSCRIPTIONPOLICY", "Effect": "Deny", "Action": [ "sns:Subscribe", "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:*:aws-controltower-SecurityNotifications" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/AWSControlTowerExecution" } } } ] }