投稿日: Apr 8, 2021
AWS Control Tower は、制限の少ない、必須の新しい 4 つの予防 S3 Log Archive ガードレールをリリースし、より制限の厳しい、以前の 4 つの予防 S3 Log Archive ガードレールのガイダンスを必須から選択的に変更します。これらのガードレールの変更により、AWS Control Tower によって作成されたリソースの S3 Log Archive ガバナンスを、作成した S3 リソースのガバナンスから分離できるようになりました。
新しい必須の予防ガードレール:
- Log Archive の AWS Control Tower で作成された S3 バケットの暗号化の設定の変更を許可しない
- Log Archive の AWS Control Tower で作成された S3 バケットのログ記録の設定の変更を許可しない
- Log Archive の AWS Control Tower で作成された S3 バケットのバケットポリシーの変更を許可しない
- Log Archive の AWS Control Tower で作成された S3 バケットのライフサイクルの設定の変更を許可しない
ガイダンス付きの既存のガードレールが必須から選択的に変更されました:
- すべての Amazon S3 バケットの暗号化の設定の変更を許可しない [以前: Log Archive 用に保存時の暗号化を有効にする]
- すべての Amazon S3 バケットのログ記録の設定の変更を許可しない [以前: Log Archive 用にアクセスのログ記録を有効にする]
- すべての Amazon S3 バケットのバケットポリシーの変更を許可しない [以前: Log Archive へのポリシー変更を許可しない]
- すべての Amazon S3 バケットのライフサイクルの設定の変更を許可しない [以前: Log Archive 用にリテンションポリシーを設定する]
AWS Control Tower は、SSL を使用するために S3 バケットリクエストを必要とするブループリントアップデートもリリースしています。デフォルトでは、AWS Control Tower はすべての AWS Control Tower 環境バケットにのために「Block Public Access」設定を有効にします。これらの変更により、AWS Control Tower は、これらのトピックに関する AWS Foundational Security Best Practices の最新のガイダンスと整合します。現在 S3 バケットリクエストに SSL を使用していない場合は、通信の中断を防ぐために、TLS/SSL を使用するようにプロトコルを変更する必要があります。
ガードレールの詳細なリストについては、ガードレールリファレンス - AWS Control Tower をご参照ください。詳細については、AWS Control Tower ホームページにアクセスいただくか、Control Tower のユーザーガイドをご参照ください。
また、AWS Control Tower の製品ウェブページにアクセスするか、YouTube にアクセスして、AWS Organizations 向け AWS Control Tower の使用を開始する方法に関するこの動画をご覧ください。