翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セキュリティ管理
AWS Managed Services (AMS) セキュリティ管理は、AMS が組織のアセットを識別し、それらのアセットを保護するためのポリシーと手順を実装するプロセスです。
**注記**
AMS に変更タイプ (CT)、デプロイ \$1 高度なスタックコンポーネント \$1 追加の SANs を含む ACM 証明書 \$1 AWS Certificate Manager 証明書のリクエストを送信するために使用できる作成 (ct-3l14e139i5p50) が追加されました。詳細については、「[AWS::CertificateManager::Certificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-certificatemanager-certificate.html)」を参照してください。この CT では、追加のサブジェクト代替名 (SAN) を作成できます。
一般的な AWS セキュリティの詳細については、[「セキュリティ、アイデンティティ、コンプライアンスのベストプラクティス](https://aws.amazon.com/architecture/security-identity-compliance/)」を参照してください。
AMS は、セキュリティリスクを次のように分類します。
+ マルウェア対策プロセスが処理するマルウェア対策によって検出された既知のリスク。
+ セキュリティイベント管理プロセスが処理するアクセス違反などのセキュリティイベント。
**Topics**
+ [AMS でのデータ保護](sec-data-protect.md)
+ [Identity and Access Management](sec-iam.md)
+ [AMS のセキュリティインシデント対応](security-incident-response.md)
+ [AMS Advanced での変更リクエストのセキュリティレビュー](ams-sec-change-request-review.md)
# AMS でのデータ保護
AMS は、Amazon GuardDuty、Amazon Macie (オプション)、その他の内部専有ツールやプロセスなどのネイティブ AWS サービスを活用して、マネージドアカウントを継続的にモニタリングします。アラームがトリガーされると、AMS は最初のトリアージとアラームへの応答について責任を負います。対応プロセスは NIST 標準に基づいています。AMS は、セキュリティインシデント対応シミュレーションを使用して対応プロセスを定期的にテストし、ワークフローを既存のカスタマーセキュリティ対応プログラムと整合させます。
AMS は、 またはセキュリティポリシーの違反 AWS または差し迫った違反の脅威を検出すると、影響を受けるリソースや設定関連の変更などの情報を収集します。AMS は、すべてのマネージドアカウントでモニタリングダッシュボード、インシデントキュー、サービスリクエストを積極的に確認および調査する専任オペレーターによる 24 時間 365 日体制のfollow-the-sunサポートを提供します。AMS は、セキュリティの専門家と調査結果を調査してアクティビティを分析し、アカウントにリストされているセキュリティエスカレーション連絡先を通じて通知します。
調査結果に基づいて、AMS はお客様と積極的に連携します。アクティビティが不正または疑わしいと思われる場合、AMS はお客様と協力して問題を調査、修復、または封じ込めます。GuardDuty によって生成された特定の検出結果タイプでは、AMS がアクションを実行する前に影響を確認する必要があります。例えば、GuardDuty 検出結果タイプ **UnauthorizedAccess:IAMUser/ConsoleLogin** は、ユーザーの 1 人が異常な場所からログインしたことを示します。AMS から通知され、この動作が正当かどうかを確認するために検出結果を確認するよう求められます。
## Amazon Macie
AWS Managed Services では、Macie を使用して、個人健康情報 (PHI)、個人を特定できる情報 (PII)、財務データなどの機密データの大規模で包括的なリストを検出することをお勧めします。
Macie は、Amazon S3 バケットで定期的に実行するように設定でき、バケット内の新規または変更されたオブジェクトの評価が時間の経過とともに自動化されます。セキュリティ検出結果が生成されると、AMS は通知を行い、必要に応じて修正を行います。
詳細については、[Amazon Macie の検出結果の分析](https://docs.aws.amazon.com/macie/latest/user/findings.html)」を参照してください。
### Amazon Macie セキュリティ
Macie は、AWS に保存されている機密データを自動的に検出、分類、保護することで、データ損失を防ぐのに役立つ人工知能/AI を活用したセキュリティサービスです。Macie は機械学習を使用して、個人を特定できる情報 (PII) や知的財産などの機密データを認識し、ビジネス価値を割り当て、このデータが保存されている場所と組織内でどのように使用されているかを可視化します。Macie は、データアクセスアクティビティの異常を継続的にモニタリングし、不正アクセスや不注意によるデータ漏洩のリスクを検出するとアラートを送信します。Macie サービスは Amazon S3 と AWS CloudTrail データソースをサポートしています。
AMS は Macie からのアラートを継続的にモニタリングし、アラートが発生した場合は、リソースとアカウントを保護するための迅速なアクションを実行します。AMS がサポートするサービスのリストに Macie を追加することで、お客様の指示に従って、すべてのアカウントで Macie を有効にして設定する責任も果たすようになりました。Macie アラートとアクションが展開されたら、AWS コンソールまたはサポートされている統合で表示できます。アカウントのオンボーディング中に、PII の保存に使用するアカウントを指定できます。PII を使用するすべての新しいアカウントでは、Macie を使用することをお勧めします。PII を持つ既存のアカウントについては、お問い合わせください。アカウントで有効になります。その結果、追加の保護レイヤーが利用可能になり、AMS によって管理される AWS 環境で Macie のすべての利点を享受できます。
**AMS Macie FAQs**
+ すべての AMS アカウントで Trend Micro と GuardDuty が有効になっている場合に Macie が必要なのはなぜですか?
Macie は、所有するデータ、データがビジネスにもたらす価値、そのデータへのアクセスに関連する動作を分類することで、Amazon S3 のデータを保護するのに役立ちます。Amazon GuardDuty は、脅威アクターの偵察、インスタンスの問題、問題のあるアカウントアクティビティなどの脅威を特定できるようにすることで、AWS アカウント、ワークロード、データの広範な保護を提供します。どちらのサービスにも、ユーザー動作分析、機械学習、異常検出が組み込まれており、それぞれのカテゴリの脅威を検出できます。Trend Micro は、PII とその脅威を特定することに重点を置いていません。
+ AMS アカウントで Macie を有効にするにはどうすればよいですか?
アカウントに PII/PHI が保存されている場合、または保存を計画している場合は、CSDM に連絡するか、サービスリクエストを作成して、AMS が管理する新規または既存のアカウントに対して Macie を有効にします。
+ AMS アカウントで Macie を有効にすると、コストにどのような影響がありますか?
Macie の料金は、Amazon Elastic Compute Cloud (Amazon EC2) などの他のサービスと同様の AMS で機能します。Amazon Macie の料金は、使用量と SLAs に基づく AMS の引き上げに基づいて発生します。Macie の料金は使用状況に基づきます。[Amazon Macie の料金](https://aws.amazon.com/macie/pricing/)」を参照してください。 AWS CloudTrail イベントと Amazon S3 ストレージに基づいて測定されます。Macie の料金はAmazon S3バケットに追加された増分データに基づいて課金されるため、有効になってから 2 か月目からフラット化する傾向があることに注意してください。
Macie の詳細については、[Amazon Macie](https://aws.amazon.com/macie/)」を参照してください。
## GuardDuty
GuardDuty は、悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードを使用する継続的なセキュリティモニタリングサービスであり、機械学習を使用して、AWS 環境内の予期しない、潜在的に不正なアクティビティや悪意のあるアクティビティを特定します。このアクティビティには、権限のエスカレートや、公開されている認証情報の使用、悪意のある IP アドレスでの通信も含まれます。また、GuardDuty は、使用したことのないリージョンにデプロイされたインスタンスなどの不正なインフラストラクチャのデプロイや、パスワード強度を低下させるためのパスワードポリシーの変更などの異常な API コールなど、Amazon Web Services アカウントのアクセス動作をモニタリングします。詳細については、[GuardDuty ユーザーガイド](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)」を参照してください。
GuardDuty の検出結果を表示および分析するには、次の手順を使用します。
1. [GuardDuty コンソール](https://console.aws.amazon.com/guardduty/)を開きます。
1. **検出結果**を選択し、特定の検出結果を選択して詳細を表示します。各検出結果の詳細は、検出結果のタイプ、関連するリソース、アクティビティの性質によって異なります。
使用可能な検出結果フィールドの詳細については、[GuardDuty の検出結果の詳細](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings-summary.html)」を参照してください。
### GuardDuty セキュリティ
Amazon GuardDuty は、AWS アカウントとワークロードを継続的にモニタリングして保護できる脅威検出を提供します。Amazon GuardDuty は、アカウントから生成されたメタデータの継続的なストリームと、イベント、Amazon VPC フローログ、ドメインネームシステム (DNS) ログにある AWS CloudTrail ネットワークアクティビティを分析します。また、既知の悪意のある IP アドレス、異常検出、機械学習などの統合された脅威インテリジェンスを使用して、脅威をより正確に特定します。GuardDuty はモニタリング対象の AMS サービスです。Amazon GuardDuty のモニタリングの詳細については、「」を参照してください[GuardDuty のモニタリング](#guardduty-scope)。GuardDuty の詳細については、[Amazon GuardDuty](https://aws.amazon.com/guardduty/)」を参照してください。
すべての新しい AMS アカウントでは、GuardDuty がデフォルトで有効になっています。AMS は、アカウントのオンボーディング中に GuardDuty を設定します。変更リクエストを送信して、いつでも設定を変更できます。GuardDuty の料金は、Amazon Elastic Compute Cloud (Amazon EC2) などの他のサービスと同様に AMS で機能します。GuardDuty の料金は、使用量と SLAs に基づく AMS の引き上げに基づいて発生します。GuardDuty 料金は、Amazon VPC フローログの AWS CloudTrail イベントとボリュームに基づいて測定される使用量 ([Amazon GuardDuty 料金](https://aws.amazon.com/guardduty/pricing/)) に基づいています。
AMS の GuardDuty では、次のプライマリ検出カテゴリが有効になっています。
+ 偵察 -- 異常な API アクティビティ、VPC 内ポートスキャン、失敗したログインリクエストの異常なパターン、既知の不正な IP からのブロックされていないポート探索など、脅威アクターによる偵察を提案するアクティビティ。
+ インスタンスの問題 -- 暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、アウトバウンドサービス拒否アクティビティ、異常に大量のネットワークトラフィック、異常なネットワークプロトコル、既知の悪意のある IP とのアウトバウンドインスタンス通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータ流出などの問題のあるインスタンスアクティビティ。
+ アカウントアクティビティ -- アカウントアクティビティを示す一般的なパターンには、異常な位置情報または匿名化プロキシからの API コール、ログ記録の無効化 AWS CloudTrail の試み、異常なインスタンスまたはインフラストラクチャの起動、異常な AWS リージョンでのインフラストラクチャのデプロイ、既知の悪意のある IP アドレスからの API コールなどがあります。
AMS は、マネージドアカウントで GuardDuty を使用して GuardDuty からの検出結果とアラートを継続的にモニタリングし、アラートが発生した場合は、AMS オペレーションがリソースとアカウントを保護するためにプロアクティブアクションを実行します。GuardDuty の検出結果とアクションは、AWS コンソールまたはサポートされている統合で展開されたときに表示できます。
GuardDuty は、アカウントの Trend Micro Deep Security Manager と連携します。Trend Micro Deep Security Manager は、ホストベースの侵入検知/侵入防止サービスを提供します。Trend Micro Web Reputation サービスは、ホストが脅威として知られているホストまたはウェブサービスと通信しようとしているタイミングを検出する機能で、GuardDuty とある程度重複しています。ただし、GuardDuty は追加の脅威検出カテゴリを提供し、Trend Micro のホストベースの検出を補完する方法であるネットワークトラフィックをモニタリングすることでこれを実現します。ネットワークベースの脅威検出では、ホストが問題のある動作をしている場合にコントロールが失敗しないようにすることで、セキュリティを強化できます。AMS では、すべての AMS アカウントで GuardDuty を使用することをお勧めします。
Trend Micro の詳細については、[「Trend Micro Deep Security Help Center](https://help.deepsecurity.trendmicro.com/10_3/aws/Welcome.html?redirected=true)」を参照してください。Amazon 以外のリンクは予告なしに変更される可能性があります。
#### GuardDuty のモニタリング
GuardDuty は、AMS がキャプチャしてアラートできる[セキュリティ検出結果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html)を生成することで、AWS 環境のステータスを通知します。
Amazon GuardDuty は、VPC フローログ、 AWS CloudTrail イベントログ、ドメインネームシステムログを分析して処理することで、AWS 環境のセキュリティをモニタリングします。GuardDuty を設定して、独自のカスタム IP リスト、信頼できる IP リスト、脅威リストを使用できるようにすることで、このモニタリング範囲を拡張できます。
+ 信頼できる IP リストは、AWS インフラストラクチャおよびアプリケーションとの安全な通信を許可した IP アドレスで構成されます。GuardDuty は信頼できる IP リストの IP アドレスの結果は生成しません。どの時点でも、信頼されている IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。
+ 脅威リストは、悪意のある既知の IP アドレスで構成されます。GuardDuty では、脅威リストに基づいて検出結果を生成します。どの時点でも、脅威リストのアップロード数は各リージョンの AWS アカウントにつき最大 6 つに限られます。
GuardDuty を実装するには、AMS CT デプロイ \$1 モニタリングと通知 \$1 GuardDuty IP セット \$1 作成 (ct-08avsj2e9mc7g) を使用して、承認された IP アドレスのセットを作成します。AMS CT デプロイ \$1 モニタリングと通知 \$1 GuardDuty 脅威情報セット \$1 作成 (ct-25v6r7t8gvkq5) を使用して、拒否された IP アドレスのセットを作成することもできます。
AMS がモニタリングするサービスのリストについては、「」を参照してください[AMS モニタリングシステムは何をモニタリングしますか?](monitoring-what-services.md)。
## Amazon Route 53 Resolver DNS ファイアウォール
Amazon Route 53 Resolver は、パブリックレコード、Amazon VPC 固有の DNS 名、Amazon Route 53 プライベートホストゾーンの AWS リソースからの DNS クエリに再帰的に応答し、すべての VPCs でデフォルトで使用できます。Route 53 Resolver DNS Firewall を使用すると、仮想プライベートクラウド (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび規制できます。これを行うには、DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、そのルールグループを VPC に関連付けて、DNS Firewall のログとメトリクスのアクティビティを監視します。アクティビティに基づいて、DNS Firewall の動作を適宜調整できます。詳細については、[「DNS ファイアウォールを使用してアウトバウンド DNS トラフィックをフィルタリング](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)する」を参照してください。
Route 53 Resolver DNS Firewall 設定を表示および管理するには、次の手順を使用します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. **DNS Firewall** で、**ルールグループ**を選択します。
1. 既存の設定を確認、編集、または削除するか、新しいルールグループを作成します。詳細については、[「Route 53 Resolver DNS Firewall の仕組み](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-overview.html)」を参照してください。
### Amazon Route 53 Resolver DNS Firewall のモニタリングとセキュリティ
Amazon Route 53 DNS Firewall は、ルールの関連付け、ルールアクション、ルール評価優先度の概念を使用します。ドメインリストは、ルールグループ内の DNS Firewall ルールで使用する、再利用可能なドメイン仕様のセットです。ルールグループを VPC に関連付けると、DNS Firewall はルールで使用されているドメインリストとDNS クエリを比較します。DNS Firewall が一致を検出した場合、DNS クエリは一致するルールのアクションに従って処理されます。ルールグループとルールの詳細については、[「DNS Firewall ルールグループとルール](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html)」を参照してください。
ドメインリストは、次の 2 つの主要なカテゴリに分類できます。
+ がユーザーに代わって AWS 作成および管理するマネージドドメインリスト。
+ 作成および管理する独自のドメインリスト。
ルールグループは、関連付け優先度インデックスに基づいて評価されます。
デフォルトでは、AMS は次のルールとルールグループで構成されるベースライン設定をデプロイします。
+ という名前の 1 つのルールグループ`DefaultSecurityMonitoringRule`。ルールグループには、有効な各 の既存の VPC ごとに作成時に使用できる最も優先度の高い関連付けがあります AWS リージョン。
+ アクション **ALERT** `DefaultSecurityMonitoringRule`で `AWSManagedDomainsAggregateThreatList` Managed Domain リストを使用して、ルールグループ内で優先度 **1** の という名前の 1 つの`DefaultSecurityMonitoringRule`ルール。
既存の設定がある場合、ベースライン設定は既存の設定よりも優先度が低くデプロイされます。既存の設定がデフォルトです。既存の設定でクエリ解決の処理方法に関する優先度の高い指示が提供されていない場合は、AMS ベースライン設定をキャッチオールとして使用します。ベースライン設定を変更または削除するには、次のいずれかを実行します。
+ Cloud Service Delivery Manager (CSDM) または Cloud Architect (CA) にお問い合わせください。
+ Management [\$1 Other \$1 Other \$1 Create CT (ct-1e1xtak34nx76) を使用して変更リクエスト (RFC)](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ex-other-other.html) を作成します。
+ サービスリクエストを作成します。
アカウントがデベロッパーモードまたは直接変更モードで運用されている場合は、変更を自分で実行できます。
## AWS Certificate Manager (ACM) 証明書
AMS には、CT、デプロイ \$1 高度なスタックコンポーネント \$1 追加の SANs を含む ACM 証明書 \$1 作成 (ct-3l14e139i5p50) があります。これを使用して、最大 5 つのサブジェクト代替名 (SAN) (example.com、example.net、example.org など) を追加して AWS Certificate Manager 証明書のリクエストを送信できます。詳細については、[「What is AWS Certificate Manager?](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)」および[「ACM Certificate Characteristic](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html)」を参照してください。
**注記**
このタイムアウト設定は、実行に関するだけでなく、E メール検証による ACM 証明書の検証に関するものです。検証しないと、RFC は失敗します。
## AMS でのデータの暗号化
AMS は、データ暗号化にいくつかの AWS サービス、特に Amazon Simple Storage Service、 AWS Key Management Service (AWS KMS)、Amazon Elastic Block Store、Amazon Relational Database Service Amazon Redshift、 Amazon ElastiCache AWS Lambda、および Amazon OpenSearch Service を使用します。
**Amazon S3**
Amazon S3 には、転送中および保管時のデータを保護するために使用できる、複数のオブジェクト暗号化オプションがあります。サーバー側の暗号化では、オブジェクトをデータセンター内のディスクに保存する前に暗号化し、オブジェクトをダウンロードするときに復号します。リクエストが認証され、お客様がアクセス許可を持っていれば、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。詳細については、「[Amazon S3 におけるデータ保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)」を参照してください。
**Amazon EBS**
Amazon EBS 暗号化を使用すると、独自のキー管理インフラストラクチャを構築、保守、保護する必要はありません。Amazon EBS 暗号化は、暗号化されたボリュームとスナップショットを作成するときに AWS KMS キーを使用します。暗号化オペレーションは、Amazon EC2 インスタンスをホストするサーバーで行われます。これは、インスタンスとそのアタッチされた Amazon EBS ストレージ間のdata-at-restdata-in-transitの両方が安全であることを確認するために行われます。1 つのインスタンスに対し、暗号化されたボリュームと暗号化されていないボリュームの両方を、同時にアタッチできます。詳細については、「[Amazon EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)」を参照してください。
**Amazon RDS**
Amazon RDS は、Amazon RDS DB インスタンスを暗号化することができます。保管時に暗号化されるデータには、DB インスタンス、自動バックアップ、リードレプリカ、スナップショットの基盤となるストレージが含まれます。Amazon RDS 暗号化 DB インスタンスは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon RDS DB インスタンスをホストするサーバー上のデータを暗号化します。データが暗号化されると、Amazon RDS はパフォーマンスの影響を最小限に抑えながら、データへのアクセスと復号化の認証を透過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。詳細については、「[Amazon RDS リソースの暗号化](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)」を参照してください。
**Amazon Simple Queue Service**
デフォルトの Amazon SQS マネージドサーバー側の暗号化 (SSE) オプションに加えて、Amazon SQS マネージド SSE (SSE-SQS) では、Amazon SQS マネージド暗号化キーを使用してメッセージキュー経由で送信される機密データを保護するカスタムマネージドサーバー側の暗号化を作成できます。サーバー側の暗号化 (SSE) により、機密データを暗号化されたキューで送信できます。SSE は、Amazon SQS で管理される暗号化キー (SSE-SQS) または AWS KMS (SSE-KMS) で管理されるキーを使用して、キュー内のメッセージの内容を保護します。を使用して SSE を管理する方法については AWS マネジメントコンソール、[「保管時の暗号化](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-server-side-encryption.html)」を参照してください。
**保管時のデータ暗号化**
OpenSearch Service ドメインでは、保管中のデータの暗号化という、データへの不正アクセスを防止するのに役立つセキュリティ機能が提供されます。この機能は AWS Key Management Service (AWS KMS) を使用して暗号化キーを保存および管理し、Advanced Encryption Standard アルゴリズムを 256 ビットキー (AES-256) を使用して暗号化を実行します。詳細については、[「Amazon OpenSearch Service の保管中のデータの暗号化](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)」を参照してください。
**キーの管理**
AWS KMS は、データの暗号化に使用される暗号化キーであるカスタマーマスターキー (CMKs) の作成と制御を容易にするマネージドサービスです。 AWS KMS CMKs は、中国 (北京) および中国 (寧夏) リージョンを除き、FIPS 140-2 暗号化モジュール検証プログラムによって検証されたハードウェアセキュリティモジュール (HSMs) によって保護されています。詳細については、「[AWS Key Management Service とは](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」を参照してください。
# Identity and Access Management
AWS Identity and Access Management (IAM) は、 AWS リソースへのアクセスを安全に制御するのに役立つウェブサービスです。IAM により、誰を認証 (サインイン) し、誰にリソースの使用を承認する (アクセス権限を持たせる) かを制御します。AMS オンボーディング中、各マネージドアカウント内にクロスアカウント IAM 管理者ロールを作成する責任があります。
## マルチアカウントランディングゾーン (MALZ) IAM 保護
AMS マルチアカウントランディングゾーン (MALZ) では、各組織 (AMS と顧客の両方) が自分の ID のライフサイクルを管理できるように、AMS アクセス管理の主な設計目標として Active Directory (AD) 信頼が必要です。これにより、相互の ディレクトリに認証情報を持つ必要がなくなります。一方向信頼は、 内の Managed Active Directory がカスタマー所有またはマネージド AD を AWS アカウント 信頼してユーザーを認証するように設定されます。信頼は 1 つの方法にすぎないため、マネージド AD がカスタマーアクティブディレクトリによって信頼されているわけではありません。
この設定では、ユーザー ID を管理するカスタマーディレクトリはユーザーフォレストと呼ばれ、Amazon EC2 インスタンスがアタッチされている Managed AD はリソースフォレストと呼ばれます。これは Windows 認証用に一般的に活用されている Microsoft 設計パターンです。詳細については、[「フォレスト設計モデル](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models)」を参照してください。
このモデルにより、両方の組織がそれぞれのライフサイクルを自動化し、従業員が組織を離れた場合に AMS とユーザーの両方がアクセスを迅速に取り消すことができます。このモデルがないと、両方の組織が共通のディレクトリを使用した場合 (または互いのディレクトリにユーザー/グループを作成した場合)、両方の組織は、従業員の開始と退出を考慮して、追加のワークフローとユーザー同期を行う必要があります。これにより、プロセスにレイテンシーがあり、エラーが発生しやすいため、リスクが発生します。
### MALZ アクセスの前提条件
AWS/AMS コンソール、CLI、SDK にアクセスするための MALZ Identity Provider Integration。
![\[ID プロバイダーと IAM、 AWS マネジメントコンソール、および AMS AWS 変更管理との関係。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
AMS アカウントの Amazon EC2 インスタンスに対する一方向の信頼。
![\[信頼の方向は、Amazon EC2 インスタンスから組織の Active Directory ドメインへの一方向です。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# アイデンティティを使用した認証
AMS は、IAM アイデンティティの一種である IAM ロールを使用します。IAM ロールは、アイデンティティが でできることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、ユーザーと非常によく似ています AWS。ただし、ロールには認証情報が関連付けられておらず、1 人のユーザーと一意に関連付けられるのではなく、ロールを必要とするすべてのユーザーがロールを引き受けることが意図されています。IAM ユーザーは、ロールを引き受けることで、一時的に特定のタスクに対して異なるアクセス許可を取得することができます。
アクセスロールは内部グループメンバーシップによって制御され、オペレーション管理によって管理および定期的にレビューされます。
# AMS の IAM ユーザーロール
IAM ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。
現在、標準 AMS アカウント`Customer_ReadOnly_Role`には 1 つの AMS デフォルトユーザーロール があり、マネージド Active Directory を持つ AMS アカウント`customer_managed_ad_user_role`には追加のロールがあります。
ロールポリシーは、CloudWatch および Amazon S3 ログアクション、AMS コンソールアクセス、ほとんどの に対する読み取り専用制限 AWS のサービス、アカウント S3 コンソールへのアクセス制限、AMS 変更タイプアクセスのアクセス許可を設定します。
さらに、 `Customer_ReadOnly_Role`には、インスタンスを予約できる可変リザーブドインスタンスのアクセス許可があります。これにはいくつかのコスト削減値があるため、長期間一定数の Amazon EC2 インスタンスが必要になることがわかっている場合は、これらの APIs呼び出すことができます。詳細については、[Amazon EC2 リザーブドインスタンス](https://aws.amazon.com/ec2/pricing/reserved-instances/)」を参照してください。
**注記**
IAM ユーザーのカスタム IAM ポリシーを作成するための AMS サービスレベル目標 (SLO) は、既存のポリシーが再利用されない限り、4 営業日です。既存の IAM ユーザーロールを変更する場合、または新しいロールを追加する場合は、[IAM: エンティティの更新](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html)または [IAM: エンティティ RFC ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html)の作成をそれぞれ送信します。
Amazon IAM ロールに慣れていない場合は、[「IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」で重要な情報を確認してください。
**マルチアカウントランディングゾーン (MALZ)**: AMS マルチアカウントランディングゾーンのデフォルト、カスタマイズされていないユーザーロールポリシーを確認するには、[MALZ: デフォルトの IAM ユーザーロール](#json-default-role-malz)次の「」を参照してください。
## MALZ: デフォルトの IAM ユーザーロール
デフォルトのマルチアカウント AMS マルチアカウントランディングゾーンユーザーロールの JSON ポリシーステートメント。
**注記**
ユーザーロールはカスタマイズ可能で、アカウントごとに異なる場合があります。ロールの検索手順が表示されます。
これらは、デフォルトの MALZ ユーザーロールの例です。必要なポリシーが設定されていることを確認するには、AWS コマンドを実行する[https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)か、AWS Management -> [IAM コンソール](https://console.aws.amazon.com/iam/)にサインインし、ナビゲーションペインで**ロール**を選択します。
### コア OU アカウントロール
コアアカウントは、MALZ が管理するインフラストラクチャアカウントです。AMS マルチアカウントランディングゾーン Core アカウントには、管理アカウントとネットワークアカウントが含まれます。
**Core OU アカウント: 一般的なロールとポリシー**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/defaults-user-role.html)
**Core OU アカウント: 管理アカウントのロールとポリシー**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/defaults-user-role.html)
**Core OU アカウント: ネットワークアカウントのロールとポリシー**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/defaults-user-role.html)
### アプリケーションアカウントロール
アプリケーションアカウントロールは、アプリケーション固有のアカウントに適用されます。
**アプリケーションアカウント: ロールとポリシー**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/defaults-user-role.html)
### ポリシーの例
使用するほとんどのポリシーの例を示します。ReadOnlyAccess ポリシー (すべての AWS サービスへの読み取り専用アクセスを提供するページ) を表示するには、アクティブな AWS アカウント: [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) がある場合、このリンクを使用できます。また、要約バージョンがここに含まれています。
#### AMSBillingPolicy
`AMSBillingPolicy`
新しい請求ロールは、経理部門が管理アカウントの請求情報またはアカウント設定を表示および変更するために使用できます。代替連絡先などの情報にアクセスしたり、アカウントリソースの使用状況を表示したり、請求のタブを保持したり、支払い方法を変更したりするには、このロールを使用します。この新しいロールは、[AWS Billing IAM アクションのウェブページ](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount)に記載されているすべてのアクセス許可で構成されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
すべての AMS 変更タイプと、リクエストされた変更タイプの履歴を表示するアクセス許可。
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
デプロイをリクエストするアクセス許可 \$1 マネージドランディングゾーン \$1 管理アカウント \$1 アプリケーションアカウントを作成する (VPC を使用) 変更タイプ。
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
デプロイをリクエストするアクセス許可 \$1 マネージドランディングゾーン \$1 ネットワークアカウント \$1 アプリケーションルートテーブルの変更タイプを作成します。
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy` (管理用 \$1 その他 \$1 その他 CTs)
管理をリクエストするアクセス許可 \$1 その他 \$1 その他 \$1 作成、管理 \$1 その他 \$1 その他 \$1 変更タイプを更新する。
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
を通じて AMS によって共有されているシークレットパスワード/ハッシュを表示するアクセス許可 AWS Secrets Manager (監査用のインフラストラクチャへのパスワードなど)。
AMS と共有するためのシークレットパスワード/ハッシュを作成するアクセス許可 (デプロイする必要がある製品のライセンスキーなど)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
すべての AMS 変更タイプをリクエストおよび表示するアクセス許可、およびリクエストされた変更タイプの履歴。
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Amazon EC2 リザーブドインスタンスを管理するアクセス許可。料金情報については、[Amazon EC2 リザーブドインスタンス](https://aws.amazon.com/ec2/pricing/reserved-instances/)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Policy
`AMSS3Policy`
既存の Amazon S3 バケットからファイルを作成および削除するアクセス許可。
**注記**
これらのアクセス許可は、S3 バケットを作成する機能を付与しません。これは、デプロイ \$1 高度なスタックコンポーネント \$1 S3 ストレージ \$1 変更タイプの作成で実行する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAccess
`AWSSupportAccess`
へのフルアクセス サポート。詳細については、[「 の開始方法 サポート](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)」を参照してください。プレミアムサポートの詳細については、「」を参照してください[サポート](https://aws.amazon.com/premiumsupport/)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions` (パブリック AWS管理ポリシー)
AWS Marketplace サブスクリプションをサブスクライブ、サブスクライブ解除、表示するアクセス許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
へのフルアクセス AWS Certificate Manager。詳細については、「[AWS Certificate Manager](https://aws.amazon.com/certificate-manager/)」を参照してください。
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy) information、 (パブリック AWS 管理ポリシー)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAccess
`AWSWAFFullAccess`
へのフルアクセス AWS WAF。詳細については、「 [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/)」を参照してください。
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html) information、 (パブリック AWS 管理ポリシー)。このポリシーは、 AWS WAF リソースへのフルアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
AWS コンソール上のすべての AWS サービスとリソースへの読み取り専用アクセス。が新しいサービス AWS を起動すると、AMS は ReadOnlyAccess ポリシーを更新して、新しいサービスの読み取り専用アクセス許可を追加します。更新されたアクセス権限は、ポリシーがアタッチされているすべてのプリンシパルエンティティに適用されます。
これにより、EC2 ホストまたはデータベースホストにログインすることはできません。
アクティブな がある場合は AWS アカウント、このリンク [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) を使用して ReadOnlyAccess ポリシー全体を表示できます。ReadOnlyAccess ポリシー全体は、すべてへの読み取り専用アクセスを提供する限り、非常に長くなります AWS のサービス。以下は、ReadOnlyAccess ポリシーの一部の抜粋です。
**単一アカウントランディングゾーン (SALZ)**: AMS シングルアカウントランディングゾーンのデフォルト、カスタマイズされていないユーザーロールポリシーを確認するには、[SALZ: デフォルトの IAM ユーザーロール](#json-default-role)次の「」を参照してください。
## SALZ: デフォルトの IAM ユーザーロール
デフォルトの AMS シングルアカウントランディングゾーンユーザーロールの JSON ポリシーステートメント。
**注記**
SALZ のデフォルトのユーザーロールはカスタマイズ可能で、アカウントごとに異なる場合があります。ロールの検索手順が表示されます。
デフォルトの SALZ ユーザーロールの例を次に示します。ポリシーが設定されていることを確認するには、 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) コマンドを実行します。または、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で AWS Identity and Access Management コンソールにサインインし、**ロール**を選択します。
顧客の読み取り専用ロールは、複数のポリシーの組み合わせです。ロール (JSON) の内訳は次のとおりです。
マネージドサービス監査ポリシー:
マネージドサービス IAM ReadOnly ポリシー
マネージドサービスユーザーポリシー
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Customer Secrets Manager 共有ポリシー
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Customer Marketplace サブスクライブポリシー
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# セキュリティイベントのロギングとモニタリング
AMS は、マネージド環境のセキュリティ脅威を継続的にモニタリングします。セキュリティイベントは、AMS またはユーザーによって検出される場合があります。AMS は、米国国立標準技術研究所 (NIST) のコンピュータセキュリティインシデント処理ガイドに基づいてオートメーションプロセスを定期的に更新し、セキュリティの脅威をより適切に検出します。
# エンドポイントセキュリティ (EPS)
AMS Advanced 環境でプロビジョニングするリソースには、エンドポイントセキュリティ (EPS) モニタリングクライアントのインストールが自動的に含まれます。このプロセスにより、AMS Advanced が管理するリソースが 24 時間 365 日モニタリングおよびサポートされます。さらに、AMS Advanced はすべてのエージェントアクティビティをモニタリングし、セキュリティイベントが検出されるとインシデントが作成されます。
**注記**
セキュリティインシデントはインシデントとして処理されます。詳細については、[「インシデント対応](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)」を参照してください。
エンドポイントセキュリティはマルウェア対策保護を提供します。具体的には、以下のアクションがサポートされています。
+ EC2 インスタンスが EPS に登録される
+ EC2 インスタンスが EPS から登録解除する
+ EC2 インスタンスのマルウェア対策のリアルタイム保護
+ EPS エージェントが開始したハートビート
+ 隔離されたファイルの EPS 復元
+ EPS イベント通知
+ EPS レポート
AMS Advanced は、エンドポイントセキュリティ (EPS) に Trend Micro を使用します。これらはデフォルトの EPS 設定です。Trend Micro の詳細については、[Trend Micro Deep Security ヘルプセンター](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true)を参照してください。Amazon 以外のリンクは予告なしに変更される可能性があります。
AMS Advanced Multi-Account Landing Zone (MALZ) のデフォルト設定については、以下のセクションで説明します。デフォルト以外の AMS Multi-Account Landing Zone の EPS 設定については、[「AMS Advanced Multi-Account Landing Zone の EPS のデフォルト以外の設定](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings)」を参照してください。
**注記**
独自の EPS を持ち込むことができます。[「AMS bring your own EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)」を参照してください。
## 一般的な EPS 設定
エンドポイントセキュリティの一般的なネットワーク設定。
**EPS のデフォルト**
| 設定 | デフォルト |
| --- | --- |
| ファイアウォールポート (インスタンスのセキュリティグループ) | EPS Deep Security Manager エージェント (DSMs) では、エージェント/リレーからマネージャーへの通信用にポート 4120 を開き、マネージャーコンソール用にポート 4119 を開く必要があります。EPS リレーでは、マネージャー/エージェントが通信を中継するためにポート 4122 を開く必要があります。エージェントがすべてのリクエストを開始するため、カスタマーインスタンスのインバウンド通信に特定のポートを開くことはできません。 |
| 通信方向 | エージェント/アプライアンスが開始されました |
| ハートビート間隔 | 10 分 |
| アラートまでに見逃されたハートビートの数 | 2 |
| サーバー時間間の最大許容ドリフト (差分) | 無制限 |
| 非アクティブ (登録済みだがオンラインではない) 仮想マシンのオフラインエラーを発生させる | なし |
| デフォルトポリシー | 基本ポリシー (次に説明) |
| 同じホスト名の複数のコンピュータのアクティベーション | 許可されます |
| 保留中の更新のアラートが生成されます | 7 日後 |
| スケジュールの更新 | AMS は、Trend Micro Deep Security Manager (DSM) / Deep Security Agent (DSA) ソフトウェア更新の毎月のリリースサイクルを対象としています。ただし、AMS は更新の SLA を維持しません。更新は、デプロイ中に AMS 開発者チームによってフリート全体で実行されます。 DSA/DSA 更新は、AMS がデフォルトで 13 週間ローカルに保持する Trend Micro DSM システムイベントに記録されます。ベンダーのドキュメントについては、Trend Micro Deep Security ヘルプセンターの[「システムイベント](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html)」を参照してください。ログは、Amazon CloudWatch のロググループ /aws/ams/eps/var/log/DSM.log にもエクスポートされます。 |
| ソースの更新 | Trend Micro Update Server (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| イベントまたはログデータの削除 | イベントとログは、7 日後に DSM データベースから削除されます。 |
| エージェントソフトウェアバージョンが保持されている | 最大 5 つ |
| 最新のルール更新が保持されます | 最大 10 個 |
| ログストレージ | デフォルトでは、ログファイルは Amazon S3 に安全に保存されますが、監査およびコンプライアンス要件を満たすために Amazon Glacier にアーカイブすることもできます。 |
## 基本ポリシー
エンドポイントセキュリティの基本ポリシーのデフォルト設定。
**EPS ベースポリシー**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/eps-defaults.html)
## マルウェア対策
エンドポイントセキュリティのマルウェア対策設定。
**EPS マルウェア対策のデフォルト**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/eps-defaults.html)
# マルウェアの軽減プロセス
AMS は、Trend Micro の Deep Security Platform (マルウェア対策システム) を使用して、AMS マネージドインスタンスのマルウェアを検出して対応します。デフォルトでは、Trend Micro 検出エージェントは、Windows オペレーティングシステムと Linux オペレーティングシステムの両方で、共有サービスおよびプライベートサブネット内のインスタンスを含むすべての Amazon EC2 インスタンスで実行されます。マルウェア対策システムは AMS モニタリングに接続されているため、マルウェアが検出されるたびにイベントが生成されます。顧客への影響がある場合、イベントはインシデント管理プロセスにエスカレーションされます (詳細については、「」を参照してください[AMS インシデント対応](sec-incident-response.md))。AMS が影響を評価する間、通知を受け取り、影響を軽減しようとします。
Trend Micro が更新を発行すると、Trend Micro のマルウェア対策定義が自動的に更新されます。
アプリケーションのオンボーディング中に、インスタンスでマルウェアが見つかったときに AMS が実行するアクションを指定します。
+ 隔離されたファイルが許可リストに含まれていることを確認し、隔離から削除してファイルシステムにリリースします。
+ 隔離されたファイルを削除し、インスタンスから削除します。
+ インスタンスを停止して置き換えます。その後、中断されたインスタンスは、フォレンジック調査のためにマウントできます。
アプリケーションのオンボーディング後:
+ マルウェア対策システムがインスタンスでマルウェアを検出すると、AMS は自動的にマルウェアを隔離します。これにより、イベントとフォローアップ調査がトリガーされます。
+ AMS は、サービス通知を通じてイベントを通知し、選択したデフォルトの緩和アクションに従って開始します。
+ デフォルトのアクションを選択していない場合、AMS は実行するアクションを尋ねます。指示を受け取ると、AMS は選択したアクションを実行し、通知します。AMS は、該当する場合、フォレンジック分析に必要な詳細など、アクションの完了後に再度通知します。
# Trend Micro Deep Security で IDS と IPS を有効にする
アカウントのデフォルト以外の機能である Trend Micro Intrusion Detection System (IDS) と Intrusion Protection Systems (IPS) を有効にするように AMS にリクエストできます。
これを行うには、更新リクエスト (管理 \$1 その他 \$1 その他 \$1 更新) を送信し、IDS および IPS 通知を受信する E メールアドレスのリストを含めます。これらのアドレスは、AMS が作成するアカウントの SNS トピックに追加されます。
**注記**
AMS は、他の AMS サービスを提供する能力を妨げる可能性のある Trend Micro サービスを追加することはできません。
# システム全体のマルウェアスキャン
Payment Card Industry Data Security Standard (PCI DSS) では、AMS マネージド VPC でデフォルトで有効になっている完全なシステムマルウェアスキャンが必要です。フルシステムスキャンは、大量の CPU を使用するため、2AM 時 (サーバーで設定されたタイムゾーン) に行われます。フルシステムスキャンは、多くの CPU を使用しない通常のマルウェアスキャンに加えて行われます。
新しい管理変更タイプ (CT) である**マルウェアスキャンを無効に**します。これにより、システム全体のマルウェアスキャンを無効にできます。CT は、 Management \$1 Host security \$1 Full system scan \$1 Disable classification, change ID ct-1pybwg08h8qsz にあります。スキャンを再度有効にするには、 管理 \$1 その他 \$1 その他 \$1 CT の更新を使用します。フルシステムスキャンを無効にしても、通常のマルウェアスキャンは無効になりません。
## Amazon Inspector のセキュリティ
Amazon Inspector サービスは、AMS マネージドスタックのセキュリティをモニタリングします。Amazon Inspector は、デプロイされたインフラストラクチャのセキュリティとコンプライアンスのギャップを特定するのに役立つ自動セキュリティ評価サービスです AWS。Amazon Inspector セキュリティ評価では、Amazon EC2 インスタンスの意図しないネットワークアクセシビリティと脆弱性をチェックすることで、スタックの露出、脆弱性、ベストプラクティスからの逸脱を自動的に評価できます。評価を実行した後、Amazon Inspector は、重要度のレベルごとに優先順位が付けられたセキュリティ結果の詳細なリストを作成します。Amazon Inspector の評価は、一般的なセキュリティのベストプラクティスと定義にマッピングされた事前定義されたルールパッケージとして提供されます。これらのルールは、 AWS セキュリティ研究者によって定期的に更新されます。Amazon Inspector の詳細については、[Amazon Inspector](https://aws.amazon.com/inspector)」を参照してください。
**AMS Amazon Inspector FAQs**
+ Amazon Inspector はデフォルトで AMS アカウントにインストールされていますか?
いいえ。Amazon Inspector はデフォルトの AMI ビルドまたはワークロード取り込みの一部ではありません。
+ Amazon Inspector にアクセスしてインストールするにはどうすればよいですか?
RFC (管理 \$1 その他 \$1 その他 \$1 作成) を送信して、アカウントアクセスとインストールを Inspector にリクエストします。AMS オペレーションチームは Customer\$1ReadOnly\$1Role を変更して、Amazon Inspector コンソールアクセス (SSM アクセスなし) を提供します。
+ Amazon Inspector エージェントは、評価するすべての Amazon EC2 インスタンスにインストールする必要がありますか?
いいえ。ネットワーク到達可能性ルールパッケージを使用した Amazon Inspector 評価は、Amazon EC2 インスタンスのエージェントなしで実行できます。エージェントはホスト評価ルールパッケージに必要です。エージェントのインストールの詳細については、[Amazon Inspector エージェントのインストール](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html)」を参照してください。
+ このサービスには追加料金がかかりますか?
はい。Amazon Inspector の料金は、[Amazon Inspector の料金](https://aws.amazon.com/inspector/pricing/)サイトで確認できます。
+ Amazon Inspector の検出結果とは
検出結果は、選択した評価ターゲットの Amazon Inspector 評価中に検出された潜在的なセキュリティ問題です。結果は Amazon Inspector コンソールまたは API に表示され、セキュリティの問題の詳細な説明とそれらを解決するための推奨事項の両方が含まれます。
+ Amazon Inspector 評価のレポートは利用できますか?
はい。評価レポートは評価の実行で行われたテストの詳細と、評価の結果を記述したドキュメントです。評価の結果はスタンダードレポート形式です。このレポートはチーム内で結果を共有できるように生成し、コンプライアンスの監査データの強化または今後の参照情報として保存することができます。Amazon Inspector 評価レポートは、評価が正常に完了すると、評価の実行用に生成できます。
+ タグを使用して Amazon Inspector レポートを実行するスタックを識別できますか?
はい。
+ AMS オペレーションチームは Amazon Inspector の評価結果にアクセスできますか?
はい。AWS で Amazon Inspector コンソールにアクセスできるユーザーは、結果と評価レポートを表示できます。
+ AMS オペレーションチームは、Amazon Inspector レポートの結果に基づいて推奨またはアクションを実行しますか?
いいえ。Amazon Inspector レポートの結果に基づいて変更を行う場合は、RFC (管理 \$1 その他 \$1 その他 \$1 更新) を通じて変更をリクエストする必要があります。
+ Amazon Inspector レポートを実行すると、AMS に通知されますか?
Amazon Inspector アクセスをリクエストすると、RFC を実行している AMS オペレーターがリクエストを CSDM に通知します。
詳細については、[Amazon Inspector のFAQs](https://aws.amazon.com/inspector/faqs/)」を参照してください。
# AMS インシデント対応
AMS は、従来の IT サービス管理 (ITSM) インシデント管理のベストプラクティスを使用して、必要に応じてできるだけ早くサービスを復元します。
専任のオペレーターがダッシュボードとインシデントキューを積極的にモニタリングし、世界中の複数のオペレーションセンターを通じて 24 時間 365 日follow-the-sunサポートを提供しています。
オペレーションエンジニアは、内部インシデント追跡ツールを使用して、インシデントを特定、ログ記録、分類、優先順位付け、診断、解決、クローズし、AMS コンソールまたは サポート API を通じてこれらのすべてのアクティビティの更新を提供します。オペレーターの多くは、さまざまなテクノロジープロファイルとロールで AWS プレミアムサポートに時間を費やしており、さまざまな内部 サポート ツールを活用してこれらのアクティビティをすべて支援しています。これらのオペレーターは、AMS がサポートするインフラストラクチャに深く精通しており、特定されたすべてのサポート問題に対処するためのエキスパートレベルの技術スキルを持っています。オペレーターがサポートを必要とするまれなケースでは、プレミアムサポートチームと AWS サービスチームが必要に応じてサポートできます。
優先度の高いインシデントが重要なワークロードに影響を与えている場合、AMS はインフラストラクチャの復元を推奨します。多くの場合、問題のトラブルシューティングと既知の正常なバックアップからの復元の間にはトレードオフがあり、サービスのダウンタイムによる顧客のリスクと影響が決定要因です。問題のトラブルシューティングに専念する時間がある場合は、AMS がお手伝いしますが、復元の緊急性が高い場合は、すぐに復元を開始できます。
**注記**
スタックテンプレートの一部ではないエフェメラルデータやデータ復元は失われます。AMS は、 AWS サービス提供が利用できない間にインフラストラクチャの復元を実行するために合理的な努力を払います。 AWS サービスが利用可能になると、インフラストラクチャの復元が完了します。
AMS の推奨に従ってインフラストラクチャの復元を許可しない場合、インシデント解決時間に対する AMS サービスコミットメントのサービスクレジットは付与されません。
# コンプライアンス検証
AMS は、 AWS Config ルールと修復アクションのライブラリをデプロイおよび管理し、アカウントのセキュリティと運用の整合性を低下させる可能性のある設定ミスから保護します。
例えば、Amazon S3 バケットが作成されると、 はAmazon S3バケットがパブリック読み取りアクセスを拒否する必要があるルールに対して Amazon S3 バケットを評価 AWS Config できます。Amazon S3 バケットポリシーまたはバケットアクセスコントロールリスト (ACL) がパブリック読み取りアクセスを許可している場合、 はバケットとルールの両方を非準拠として AWS Config フラグ付けします。これらは、評価の結果に基づいて、リソースを準拠、非準拠、または該当なしとして AWS Config ルール マークします。 AWS Config サービスの詳細については、「 [AWS Config デベロッパーガイド](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)」を参照してください。
AWS Config コンソール、 AWS CLI、または AWS Config API を使用して、アカウントにデプロイされたルールと、ルールとリソースのコンプライアンス状態を表示できます。詳細については、「 AWS Config ドキュメント: [ 設定コンプライアンスの表示](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)」を参照してください。
**注記**
このトピックに関する追加情報は、AWS Artifact レポートにアクセスして入手できます。詳細については、「[ Artifact のレポートのダウンロード](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」をご参照ください。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。このユーザーガイドには機密性の高いセキュリティコンテンツが含まれているため、この情報は含まれていません。
# のコンプライアンスステータスを表示するマルチアカウントランディングゾーン AWS Config ルール
AMS マルチアカウントランディングゾーンは AWS Config 、アグリゲータサービスを利用して、すべてのアカウントのコンプライアンスを一元的に表示します。つまり、セキュリティアカウントのアグリゲータの下に、AMS マルチアカウントランディングゾーン環境 AWS Config ルール 全体のすべての AWS Config のコンプライアンスステータスを確認できます。
以下は、アカウント AWS Config ルール 間で AWS Config の中央コンプライアンスステータスを示すアグリゲータのサンプルです。
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
詳細については、[Config Aggregator](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) の AWS ドキュメントを参照してください。
+ AMS は AWS Config ルールをどのように使用しますか?
AMS は を作成して AWS Config ルール 、ルールで指定された条件に対する AWS リソースの設定を可視化します。ルールが準拠していない場合は、変更をリクエストできます。AMS Ops チームがお客様と協力して是正措置を取ります。
+ この場合、AMS アカウントに次の変更が表示されます。
+ AWS Config ルール AWS Config > ルールの下
+ Lambda 関数を含むカスタム Config ルールがアカウントに存在する
+ セキュリティアカウントの Config Aggregator とすべてのアカウントの Config 認可 (マルチアカウントランディングゾーンのみ)
以下は のサンプル AWS Config ルール であり、そのコンプライアンス評価結果を以下に示します。
![\[AWS Config ルール dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
AWS Config の詳細については、以下を参照してください。
+ AWS Config: [ Config とは](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config ルール: [ルールを使用したリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config ルール: [動的コンプライアンスチェック: AWS Config ルール – クラウドリソースの動的コンプライアンスチェック](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config Aggregator: [マルチアカウントマルチリージョンデータ集約](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
# AMS マルチアカウントランディングゾーンサービスコントロールポリシーの制限
このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。
# 耐障害性
AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 は、低レイテンシー、高スループット、高度に冗長なネットワークで接続された、物理的に分離および分離された複数のアベイラビリティーゾーン AWS リージョン を提供します。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性が高く、フォールトトレラントで、スケーラブルです。
AWS リージョンとアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure)」を参照してください。
# インフラストラクチャセキュリティ
**注記**
このトピックに関する追加情報は、AWS Artifact レポートにアクセスして入手できます。詳細については、「[ Artifact のレポートのダウンロード](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」をご参照ください。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。このユーザーガイドには機密性の高いセキュリティコンテンツが含まれているため、この情報は含まれていません。
# end-of-supportオペレーティングシステムのセキュリティコントロール
オペレーティングシステム製造元のend-of-support」または EOS の一般的なサポート期間外であり、セキュリティ更新プログラムを受け取らないオペレーティングシステムでは、セキュリティリスクが高くなります。
AWS には、オペレーションシステムのend-of-supportの処理に役立つサービスがいくつか用意されています。Windows end-of-supportの詳細については、[「Windows Server End-of-Support移行プログラム](https://aws.amazon.com/emp-windows-server/)」を参照してください。
**注記**
このトピックに関する追加情報は、AWS Artifact レポートにアクセスして入手できます。詳細については、「[ Artifact のレポートのダウンロード](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」をご参照ください。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。このユーザーガイドには機密性の高いセキュリティコンテンツが含まれているため、この情報は含まれていません。
## セキュリティグループの使用
セキュリティグループは、1 つ以上のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。AMS セキュリティグループを使用すると、インバウンドトラフィックルールとアウトバウンドトラフィックルールをインスタンスレベルで設定できます。セキュリティグループを作成し、AMS アカウント、Amazon EC2 インスタンス、Amazon RDS DB インスタンス、ロードバランサー、Deep Security Manager (DSM) レプリケーションインスタンス、EFS マウントターゲット、ElastiCache クラスターでリソースを指定して、セキュリティグループに関連付けることができます。関連付けられると、それらのインスタンスとの間のトラフィックは、セキュリティグループで設定されたルールによって制約されます。
一般的な AWS セキュリティの詳細については、「[Best Practices for Security, Identity, & Compliance](https://aws.amazon.com/architecture/security-identity-compliance/)」および[Amazon EC2 Security Groups for Linux Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)」を参照してください。
AMS に、セキュリティグループを作成および管理するための一連の変更タイプが追加されました。
+ デプロイ \$1 高度なスタックコンポーネント \$1 セキュリティグループ \$1 作成 (ct-1oxx2g2d7hc90)
+ 管理 \$1 高度なスタックコンポーネント \$1 セキュリティグループ \$1 削除 (ct-3cp96z7r065e4)
+ 管理 \$1 高度なスタックコンポーネント \$1 セキュリティグループ \$1 更新 (ct-3memthlcmvc1b)
例については、[「セキュリティグループ](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html)」を参照してください。
# セキュリティグループ
AWS VPCs では、AWS セキュリティグループは仮想ファイアウォールとして機能し、1 つ以上のスタック (インスタンスまたは一連のインスタンス) のトラフィックを制御します。スタックを起動すると、スタックは 1 つ以上のセキュリティグループに関連付けられ、スタックに到達できるトラフィックが決まります。
+ パブリックサブネット内のスタックの場合、デフォルトのセキュリティグループはすべての場所 (インターネット) からの HTTP (80) および HTTPS (443) からのトラフィックを受け入れます。スタックは、企業ネットワークからの内部 SSH および RDP トラフィック、および AWS 踏み台も受け入れます。これらのスタックは、任意のポートを介してインターネットに出力できます。また、プライベートサブネットやパブリックサブネット内の他のスタックに出力することもできます。
+ プライベートサブネット内のスタックは、プライベートサブネット内の他のスタックに出力でき、スタック内のインスタンスは、任意のプロトコルを介して相互に完全に通信できます。
**重要**
プライベートサブネット上のスタックのデフォルトのセキュリティグループでは、プライベートサブネット内のすべてのスタックが、そのプライベートサブネット内の他のスタックと通信できます。プライベートサブネット内のスタック間の通信を制限する場合は、制限を記述する新しいセキュリティグループを作成する必要があります。たとえば、そのプライベートサブネット内のスタックが特定のポート経由で特定のアプリケーションサーバーからのみ通信できるようにデータベースサーバーへの通信を制限する場合は、特別なセキュリティグループをリクエストします。これを行う方法については、このセクションで説明します。
## デフォルトのセキュリティグループ
------
#### [ MALZ ]
次の表は、スタックのデフォルトのインバウンドセキュリティグループ (SG) 設定を示しています。SG はSentinelDefaultSecurityGroupPrivateOnly-vpc-ID」という名前で、*ID* は AMS マルチアカウントランディングゾーンアカウントの VPC ID です。すべてのトラフィックは、このセキュリティグループ経由でmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly」へのアウトバウンドが許可されます (スタックサブネット内のすべてのローカルトラフィックが許可されます)。
すべてのトラフィックは、2 番目のセキュリティグループSentinelDefaultSecurityGroupPrivateOnly」によって 0.0.0.0/0 へのアウトバウンドが許可されます。
**ヒント**
EC2 create や OpenSearch create ドメインなどの AMS 変更タイプのセキュリティグループを選択する場合は、ここで説明するデフォルトのセキュリティグループのいずれか、または作成したセキュリティグループを使用します。VPC ごとのセキュリティグループのリストは、AWS EC2 コンソールまたは VPC コンソールで確認できます。
内部 AMS 目的で使用される追加のデフォルトのセキュリティグループがあります。
**AMS デフォルトセキュリティグループ (インバウンドトラフィック)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
次の表は、スタックのデフォルトのインバウンドセキュリティグループ (SG) 設定を示しています。SG の名前はmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-*ID*」で、*ID* は一意の識別子です。すべてのトラフィックは、このセキュリティグループ経由でmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly」へのアウトバウンドが許可されます (スタックサブネット内のすべてのローカルトラフィックが許可されます)。
すべてのトラフィックは、2 番目のセキュリティグループmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnlyEgressAll-0 へのアウトバウンドが許可されます。**
**ヒント**
EC2 create や OpenSearch create ドメインなどの AMS 変更タイプのセキュリティグループを選択する場合は、ここで説明するデフォルトのセキュリティグループのいずれか、または作成したセキュリティグループを使用します。VPC ごとのセキュリティグループのリストは、AWS EC2 コンソールまたは VPC コンソールで確認できます。
内部 AMS 目的で使用される追加のデフォルトのセキュリティグループがあります。
**AMS デフォルトセキュリティグループ (インバウンドトラフィック)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/about-security-groups.html)
------
## セキュリティグループの作成、変更、または削除
カスタムセキュリティグループをリクエストできます。デフォルトのセキュリティグループがアプリケーションまたは組織のニーズを満たさない場合は、新しいセキュリティグループを変更または作成できます。このようなリクエストは承認が必要と見なされ、AMS オペレーションチームによってレビューされます。
スタックと VPCs の外部でセキュリティグループを作成するには、`Deployment | Advanced stack components | Security group | Create (review required)`変更タイプ (ct-1oxx2g2d7hc90) を使用して RFC を送信します。
Active Directory (AD) セキュリティグループの変更には、次の変更タイプを使用します。
+ ユーザーを追加するには: Management \$1 Directory Service \$1 ユーザーとグループ \$1 ユーザーをグループに追加する [ct-24pi85mjtza8k] を使用して RFC を送信する
+ ユーザーを削除するには: Management \$1 Directory Service \$1 Users and groups \$1 Remove user from group [ct-2019s9y3nfml4] を使用して RFC を送信します。
**注記**
「レビュー必須」CT **を使用する場合、AMS では ASAP スケジューリング**オプション (コンソールで **ASAP** を選択し、API/CLI で開始時刻と終了時刻を空白のままにしておく) を使用することをお勧めします。これらの CTs では、AMS オペレータが RFC を調べる必要があり、承認して実行する前に通信する必要があるためです。これらの RFCsスケジュールする場合は、少なくとも 24 時間かかります。スケジュールされた開始時刻より前に承認が行われない場合、RFC は自動的に拒否されます。
## セキュリティグループの検索
スタックまたはインスタンスにアタッチされているセキュリティグループを検索するには、EC2 コンソールを使用します。スタックまたはインスタンスを検索した後、そのスタックまたはインスタンスにアタッチされたすべてのセキュリティグループを表示できます。
コマンドラインでセキュリティグループを検索し、出力をフィルタリングする方法については、「」を参照してください[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html)。
# AMS 予防的コントロールと検出的コントロールライブラリ
AWS Managed Services (AMS) は、実証済みのサービスコントロールポリシー (SCPs) と ConfigRules の厳選されたライブラリ/カタログを提供します。これらは、セキュリティ体制を改善し、AMS アカウントのコンプライアンスギャップを軽減するために活用できます。
**Topics**
+ [厳選された SCPs と Config ルール](scp-library-compliance.md)
+ [Config ルールのカスタム通知](scp-lib-custom-notice.md)
# 厳選された SCPs と Config ルール
AMS Advanced の厳選された SCPs と Config ルール。
+ **サービスコントロールポリシー (SCPs)**: 提供される SCPsは、デフォルトの AMS ポリシーに追加されます。
これらのライブラリコントロールをデフォルトのコントロールと組み合わせて使用して、特定のセキュリティ要件を満たすことができます。
+ **Config ルール**: ベースラインメジャーとして、AMS では、デフォルトの AMS 設定ルール (デフォルトのルールについては AMS アーティファクトを参照) に加えて、コンフォーマンスパック ( AWS Config ガイドの[「コンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)」を参照) を適用することをお勧めします。コンフォーマンスパックは、コンプライアンス要件の大部分をカバーし、AWS は定期的に更新します。
ここに記載されているルールは、コンフォーマンスパックでカバーされていないユースケース固有のギャップをカバーするために使用できます。
**注記**
AMS のデフォルトのルールとコンフォーマンスパックが時間の経過とともに更新されると、これらのルールが重複することがあります。
AMS では、一般的に重複する Config ルールを定期的にクリーンアップすることをお勧めします。
AMS Advanced の場合、out-of-bandの変更を避けるため、Config ルールは自動修正 ([「AWS Config ルールによる非準拠の AWS リソースの修正」を参照](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)) を使用しないでください。
## SCP-AMS-001: EBS 作成の制限
暗号化が有効になっていない場合は、EBS ボリュームの作成を防止します。
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002: EC2 起動を制限する
EBS ボリュームが暗号化されていない場合、EC2 インスタンスの起動を防止します。これには、暗号化されていない AMIs からの EC2 起動の拒否も含まれます。この SCP はルートボリュームにも適用されるためです。
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001: RFC 送信を制限する
デフォルトの AMS ロールが、VPC **の作成や VPC** **の削除**などの特定の自動 RFCs を送信しないように制限します。これは、フェデレーティッドロールにより詳細なアクセス許可を適用する場合に便利です。
たとえば、VPC の作成と削除、追加のサブネットの作成、アプリケーションアカウントのオフボーディング、SAML ID プロバイダーの更新または削除を許可する RFCsを除き、使用可能な RFC のほとんどをデフォルトから送信`AWSManagedServicesChangeManagement Role`できます。
## SCP-AMS-003: AMS での EC2 または RDS の作成を制限する
特定のタグを持たない Amazon EC2 および RDS インスタンスの作成を防止し、AMS デフォルト`AMS Backup IAM`ロールに許可します。これはディザスタリカバリまたは DR に必要です。
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004: S3 アップロードを制限する
暗号化されていない S3 オブジェクトのアップロードを防止します。
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005: API とコンソールへのアクセスを制限する
顧客の InfoSec が判断した既知の不正な IP アドレスからのリクエストに対する AWS コンソールと API アクセスを防止します。
## SCP-AMS-006: IAM エンティティが組織からメンバーアカウントを削除できないようにする
AWS Identity and Access Management エンティティが組織からメンバーアカウントを削除しないようにします。
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007: 組織外のアカウントへのリソースの共有を禁止する
AWS 組織外の外部アカウントとのリソースの共有を禁止する
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008: 組織または組織単位 (OUs) との共有を禁止する
組織内のアカウントや OU とリソースを共有しないようにします。
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009: ユーザーがリソース共有の招待を受け入れないようにする
メンバーアカウントが からの招待を受け入れ AWS RAM てリソース共有に参加できないようにします。この API は条件をサポートしておらず、外部アカウントからの共有のみを防ぎます。
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010: アカウントリージョンのアクションの有効化と無効化を禁止する
AWS アカウントの新しい AWS リージョンを有効または無効にしないようにします。
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011: 請求変更アクションの防止
請求および支払い設定の変更を防止します。
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012: 特定の CloudTrails の削除または変更を防止する
特定の AWS CloudTrail 証跡への変更を防止します。
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013: デフォルトの EBS 暗号化の無効化を禁止する
デフォルトの Amazon EBS 暗号化の無効化を防止します。
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014: デフォルトの VPC とサブネットの作成を禁止する
デフォルトの Amazon VPC とサブネットの作成を防止します。
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015: GuardDuty の無効化と変更を禁止する
Amazon GuardDuty が変更または無効化されないようにします。
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016: ルートユーザーアクティビティの防止
ルートユーザーがアクションを実行できないようにします。
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017: ルートユーザーのアクセスキーの作成を禁止する
ルートユーザーのアクセスキーの作成を防止します。
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018: S3 アカウントのパブリックアクセスブロックの無効化を禁止する
Amazon S3 アカウントのパブリックアクセスブロックを無効にしないようにします。これにより、アカウントのバケットがパブリックになるのを防ぐことができます。
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019: AWS Config の無効化または Config ルールの変更を禁止する
AWS Config ルールの無効化または変更を防止します。
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020: すべての IAM アクションを禁止する
すべての IAM アクションを防止します。
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021: CloudWatch Logs グループとストリームの削除を禁止する
Amazon CloudWatch Logs グループとストリームの削除を防止します。
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022: Glacier 削除の防止
Amazon Glacier の削除を防止します。
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023: IAM Access Analyzer の削除を禁止する
IAM Access Analyzer の削除を防止します。
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024: Security Hub への変更の防止
削除を防止します AWS Security Hub CSPM。
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025: Directory Service での削除の防止
のリソースの削除を防止します Directory Service。
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026: 拒否リストに登録されたサービスの使用を禁止する
拒否リストに登録されたサービスの使用を防止します。
**注記**
*service1* と *service2* をサービス名に置き換えます。*access-analyzer* または *IAM* の例。
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027: 特定のリージョンでの拒否リストに登録されたサービスの使用を禁止する
特定の AWS リージョンで拒否リストに登録されているサービスの使用を防止します。
**注記**
*service1* と *service2* をサービス名に置き換えます。*access-analyzer* または *IAM* の例。
*region1* と *region2* をサービス名に置き換えます。*us-west-2* または *use-east-1* の例。
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028: 承認されたプリンシパル以外によるタグの変更を防止する
承認されたプリンシパル以外のユーザーによるタグの変更を防止します。認可タグを使用してプリンシパルを認可します。認可タグは、リソースとプリンシパルに関連付ける必要があります。ユーザー/ロールは、リソースとプリンシパルの両方のタグが一致する場合にのみ、承認されたと見なされます。詳細については、以下のリソースを参照してください。
+ [のサービスコントロールポリシーを使用した認可に使用されるリソースタグの保護 AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [承認されたプリンシパル以外によるタグの変更を防止する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029: ユーザーが Amazon VPC フローログを削除できないようにする
Amazon VPC フローログの削除を防止します。
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030: ネットワークアカウント以外のアカウントとの VPC サブネットの共有を禁止する
Amazon VPC サブネットをネットワークアカウント以外のアカウントと共有しないようにします。
**注記**
*NETWORK\$1ACCOUNT\$1ID* をネットワークアカウント ID に置き換えます。
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031: 禁止されているインスタンスタイプのインスタンスの起動を禁止する
禁止された Amazon EC2 インスタンスタイプの遅延を防止します。
**注記**
*instance\$1type1* と *instance\$1type2* を、*t2.micro* や *\$1.nano などのワイルドカード文字列など、制限するインスタンスタイプに置き換えます*。
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032: IMDSv2 を使用しないインスタンスの起動を禁止する
IMDSv2 を使用しない Amazon EC2 インスタンスを防止します。 IMDSv2
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033: 特定の IAM ロールへの変更を禁止する
指定された IAM ロールへの変更を防止します。
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034: 特定の IAM ロールで AssumeRolePolicy の変更を禁止する
指定された IAM ロールの AssumeRolePolicy への変更を防止します。
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: 必須タグ
EC2 インスタンスに必要なカスタムタグがあるかどうかを確認します。InfoSec に加えて、これはコスト管理にも役立ちます。
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: アクセスキーがローテーションされました
アクセスキーが指定された期間内にローテーションされていることを確認します。これは通常、一般的なコンプライアンス要件に従って 90 日に設定されます。
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: AMS の IAM ルートアクセスキー
ルートアクセスキーがアカウントに存在していないことを確認します。AMS Advanced アカウントの場合、これはout-of-the-box準拠することが期待されます。
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: SSM マネージド EC2
EC2sが SSM Systems Manager によって管理されていることを確認します。
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: AMS で未使用の IAM ユーザー
指定された期間使用されていない IAM ユーザー認証情報を確認します。キーローテーションチェックと同様に、これは通常、一般的なコンプライアンス要件に従ってデフォルトで 90 日に設定されます。
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: S3 バケットのログ記録
アカウントの S3 バケットでログ記録が有効になっていることを確認します。
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: S3 バケットのバージョニング
すべての S3 バケットでバージョニングと MFA 削除 (オプション) が有効になっていることを確認します。
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: S3 パブリックアクセス
パブリックアクセス設定 (パブリック ACL、パブリックポリシー、パブリックバケット) がアカウント全体で制限されていることを確認します。
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: アーカイブされていない GuardDuty の検出結果
アーカイブされていない GuardDuty の検出結果が、指定された期間より古いかどうかを確認します。デフォルトの期間は、低レベルの場合は 30 日間、中レベルの場合は 7 日間、高レベル検出の場合は 1 日間です。
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: CMK 削除
削除がスケジュールされている (または保留中) AWS Key Management Service カスタムマスターキー (CMKs) がないか確認します。CMK 削除に関する認識がないと、データが回復不能になる可能性があるため、これは重要です。
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: CMK ローテーション
アカウント内のすべての CMK で自動ローテーションが有効になっていることを確認する
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Config ルールのカスタム通知
重大な非準拠の Config ルールが発生し、InfoSec チームとリーダーシップチームに直接エスカレーションされた認識を高める必要がある場合があります。このようなシナリオでは、AMS はコンプライアンス違反のイベント駆動型カスタム通知を設定することをお勧めします。
例:
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# AMS Advanced の Amazon EventBridge ルールサービスにリンクされたロール
AMS Advanced は、**AWSServiceRoleForManagedServices\$1Events** という名前のサービスリンクロール (SLR) を使用します。このロールは AWS 、マネージドサービスサービスプリンシパル (events.managedservices.amazonaws.com) の 1 つを信頼してロールを引き受けます。サービスは、 ロールを使用して EventBridge マネージドルールを作成します。このルールは、 AWS アカウントから AWS マネージドサービスにアラーム状態変更情報を配信するために必要なインフラストラクチャです。
## EventBridge SLR for AMS Advanced のアクセス許可
**AWSServiceRoleForManagedServices\$1Events** サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ events.managedservices.amazonaws.com
このロールには、**AWSManagedServices\$1EventsServiceRolePolicy** AWS 管理ポリシーがアタッチされています ([「AWS 管理ポリシー: AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy)」を参照)。サービスは ロールを使用して、アカウントから マネージドサービスに AWS アラーム状態変更情報を配信します。サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、*AWS Identity and Access Management* [ユーザーガイドの「サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
JSON **AWSManagedServices\$1EventsServiceRolePolicy** は、次の ZIP: [EventsServiceRolePolicy.zip](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip) でダウンロードできます。
## AMS Advanced 用の EventBridge SLR の作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Advanced によってサービスにリンクされたロールが作成されます。
**重要**
このサービスにリンクされたロールは、2023 年 2 月 7 日より前に AMS Advanced サービスを使用していた場合、サービスにリンクされたロールのサポートが開始されると、AMS Accelerate によってアカウントに AWSServiceRoleForManagedServices\$1Events ロールが作成されました。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Advanced によってサービスにリンクされたロールが再度作成されます。
## AMS Advanced の EventBridge SLR の編集
AMS Advanced では、AWSServiceRoleForManagedServices\$1Events サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## AMS Advanced の EventBridge SLR の削除
AWSServiceRoleForManagedServices\$1Events ロールを手動で削除する必要はありません。 AWS マネジメントコンソール、、 AWS CLI または AWS API で AMS からオフボードすると、AMS Advanced はリソースをクリーンアップし、サービスにリンクされたロールを削除します。
IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。
**注記**
リソースを削除しようとしたときに AMS Advanced サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
****AWSServiceRoleForManagedServices\$1Events サービスにリンクされたロールで使用される** AMS Advanced リソースを削除するには**
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForManagedServices\$1Events サービスにリンクされたロールを削除します。
詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
# セキュリティのベストプラクティス
このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。
## AMS マルチアカウントランディングゾーン EPS のデフォルト以外の設定
このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。
## AMS ガードレール
ガードレールは、AMS 環境全体に継続的なガバナンスを提供する高レベルのルールです。
このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。
## MALZ サービスコントロールポリシー
このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。
# AMS のセキュリティインシデント対応
セキュリティは AWS Managed Services (AMS) の最優先事項です。AMS は、リソースとコントロールをアカウントにデプロイして管理します。 AWS には責任共有モデルがあります。 はクラウドのセキュリティ AWS を管理し、お客様はクラウドのセキュリティを担当します。AMS はデータとアセットを保護し、セキュリティの問題に対するセキュリティコントロールとアクティブなモニタリングを使用して AWS インフラストラクチャの安全性を維持するのに役立ちます。これらの機能は、 AWS クラウドで実行されているアプリケーションのセキュリティベースラインを確立するのに役立ちます。AMS は、セキュリティインシデント対応を通じてお客様と協力して効果を評価し、ベストプラクティスの推奨事項に基づいて封じ込めと修復を実行します。
設定ミスや外部要因の変化など、ベースラインからの逸脱が発生した場合は、対応して調査する必要があります。これを成功させるには、AMS 環境内のセキュリティインシデント対応の基本概念を理解する必要があります。また、セキュリティ上の問題が発生する前にクラウドチームを準備、教育、トレーニングするための要件も理解する必要があります。使用できるコントロールと機能を把握し、ユーザーアカウントの侵害や特権アカウントの悪用などの一般的なセキュリティ問題の対応計画を立て、自動化を使用して対応速度と一貫性を向上させる修復方法を特定することが重要です。さらに、これらの要件を満たすためのセキュリティインシデント対応プログラムの構築に関連するコンプライアンス要件と規制要件を理解する必要があります。
セキュリティインシデント対応は複雑な場合がありますが、反復的なアプローチを実装することで、プロセスを簡素化し、インシデント対応チームが早期かつ継続的な検出と対応を提供することで、アセットステークホルダーの満足度を維持できます。このガイドでは、AMS がインシデント対応に使用する方法、AMS 責任マトリックス (RACI)、セキュリティイベントに備える方法、セキュリティインシデント中に AMS をエンゲージする方法、AMS が使用するインシデント対応ランブックの一部について説明します。
# AMS セキュリティインシデント対応の仕組み
AWS Managed Services は、NIST 800-61 [Computer Security Incident Handling Guide](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) for Security Incident Response に準拠しています。この業界標準に準拠することで、セキュリティイベント管理に一貫したアプローチを提供し、クラウド内のセキュリティインシデントの保護と対応に関するベストプラクティスに従います。
![\[インシデント対応のライフサイクル\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/sec-inc-response-1.png)
**インシデント対応のライフサイクル**
検出がセキュリティアラートを特定して生成する場合、またはセキュリティ支援をリクエストする場合、AWS Managed Servicesオペレーションチームは、タイムリーな調査を行い、データ収集の実行、優先順位付けと分析のための自動化を実行し、分析の通知を行い、調査と封じ込めアクティビティを実行し、イベント分析を投稿します。
インシデント対応中に実行されるデータ収集、トリアージ、分析、および封じ込めのアクティビティは、調査対象のセキュリティイベントのタイプによって異なります。一部のシナリオのセキュリティインシデント対応ワークフローの例は、このドキュメントの最後にあります。
インシデント中、AMS は正しい一連のアクションを動的に判断します。これにより、文書化されたステップが必要に応じて順序変更またはバイパスされ、適切な結果が得られる可能性があります。
# 準備
脅威の状況が進化するにつれて、AMS は引き続き検出および対応機能を拡張します。新しい検出が追加されると、AMS はこれらの新しい検出からのアラートを検出および応答プラットフォームに組み込みます。AMS セキュリティレスポンダーは、セキュリティインシデント対応のライフサイクルを通じて調査し、パートナーとなるようにトレーニングされます。
このパートナーシップアプローチにより、セキュリティチームとアプリケーションチームが AMS と連携して、これらのイベントが発生したときにセキュリティイベントを処理する準備を整えることが重要です。このドキュメントでは、セキュリティイベント中に予想されることについて説明し、セキュリティインシデントが発生したときの迅速な対応に備えるのに役立ちます。
このドキュメントでは、NIST 800-61 定義の**イベント**をシステムまたはネットワークでの観測可能な出現として使用し、**インシデント**をポリシー、許容可能な使用ポリシー、または標準セキュリティプラクティスの違反または差し迫った脅威として使用します。
## 準備チェックリスト
AMS クラウドソリューションデリバリーマネージャー (CSDM) および AMS クラウドアーキテクト (CA) と以下のチェックリストを確認してください。
+ どの アカウントでどのワークロードが実行されているかを理解します。
+ さまざまなワークロードを担当する内部チームを理解し、ワークロードで適切にタグ付けします。
+ セキュリティイベントの調査中や封じ込めの決定時に必要となる可能性がある他のチームの連絡先の詳細を内部で維持します。
+ セキュリティ連絡先が最新であり、すべてのマネージド AWS アカウントに追加されていることを確認します。問い合わせはアカウントごとに管理されます。
+ AMS にセキュリティインシデントを発生させる方法を理解し、重大度と予想される応答時間を理解します。
+ セキュリティ通知を受信すると、ページャーやセキュリティオペレーションセンターなどの適切なユーザーとシステムにルーティングされます。
+ 使用可能なログソース、アカウントに保存されているログソース、およびログソースにアクセスできるユーザーについて説明します。
+ CloudWatch Insights を使用して調査中にログをクエリする方法を理解します。
+ リソース (EC2、IAM、S3、および の son on) で利用できる封じ込めオプションと、封じ込め時のワークロードの可用性への影響を理解します。
# 検出
AWS アカウントの管理中、AMS はAmazon CloudWatch、Amazon GuardDuty、VPC フローログ、Amazon Macie、Amazon 内部脅威インテリジェンスフィードなど、検出ソースとコントロールから収集されたデータを使用して、ユーザー動作、アカウントアクティビティ、 AWS Config 潜在的なセキュリティイベントの異常をモニタリングします。
AMS は、ネイティブ AWS サービスとその他の検出テクノロジーの両方を使用して、以下によって作成されたセキュリティイベントに対応します。
+ Config 準拠の検出結果タイプ
+ GuardDuty 検出結果タイプ
+ Macie 検出結果タイプ
+ Amazon Route 53 Resolver DNS ファイアウォールイベント
+ AMS セキュリティイベント (クラウド監視アラーム)
サービス、製品、脅威エコシステムが進化するにつれて、追加の検出結果が追加されます。
## セキュリティイベントを AMS に報告する
AMS サポートポータルまたは サポート センターを通じてインシデントを提起し、セキュリティインシデントを AMS に通知するか、調査をリクエストします。
# 分析
セキュリティイベントを特定して報告した後、次のステップは、報告されたイベントが誤検出か実際のインシデントかを分析することです。AMS は、自動化と手動調査の手法を使用してセキュリティイベントを処理します。分析には、ネットワークトラフィックログ、ホストログ、CloudTrail イベント、 AWS サービスログなど、さまざまな検出ソースからのログの調査が含まれます。この分析では、相関によって異常な動作を示すパターンも検索します。
パートナーシップは、アカウント環境に固有のコンテキストを理解し、アカウントとワークロードの正常性を確立するために必要です。これにより、AMS は異常をより迅速に特定し、インシデント対応を加速できます。
## セキュリティイベントに関する AMS からの通信を処理する
AMS は、インシデントチケットを通じてセキュリティ連絡先を関与させることで、調査中に情報を提供します。AMS クラウドサービスデリバリーマネージャー (CSDM) と AMS クラウドアーキテクト (CA) は、アクティブなセキュリティ調査中の通信のために に連絡すべき連絡先です。
通信には、セキュリティアラートの生成時の自動通知、イベント分析後の通信、通話ブリッジの確立、ログファイルなどのアーティファクトの継続的な配信、感染したリソースのスナップショット、セキュリティイベント中の調査結果の取得が含まれます。
AMS セキュリティアラート通知に含まれる標準フィールドを以下に示します。これらのフィールドには、修復のために組織内の適切なチームにイベントをルーティングするための情報が表示されます。
+ 検出結果タイプ
+ 検出結果識別子 (該当する場合)
+ 検出結果の重要度
+ 検出結果の説明
+ 作成された日付と時刻の検索
+ AWS アカウント ID
+ リージョン (該当する場合)
+ AWS リソース (IAM user/role/policy、EC2, S3、EKS)
検出結果タイプに応じて追加のフィールドが提供されます。例えば、EKS 検出結果には Pod、コンテナ、クラスターの詳細が含まれます。
# 封じ込め
AMS の封じ込めアプローチは、お客様とのパートナーシップです。ネットワーク分離、IAM ユーザーまたはロールのプロビジョニング解除、インスタンスの再構築など、封じ込めアクティビティによって発生する可能性のあるビジネスとワークロードへの影響を理解している。
封じ込めの重要な部分は意思決定です。たとえば、システムをシャットダウンしたり、ネットワークからリソースを分離したり、アクセスをオフにしたり、セッションを終了したりできます。これらの決定は、インシデントを封じ込めるための事前定義された戦略と手順がある場合に簡単に行うことができます。AMS は、封じ込め戦略を提供し、封じ込めアクションの実装に伴うリスクを考慮した後にソリューションを実装します。
分析対象のリソースに応じて、さまざまな封じ込めオプションがあります。AMS では、インシデント調査中に複数のタイプの封じ込めが同時にデプロイされることを想定しています。これらの例には、次のようなものがあります。
+ 保護ルールを適用して不正なトラフィックをブロックする (セキュリティグループ、NACL、WAF ルール、SCP ルール、拒否リスト、署名アクションを隔離またはブロックに設定する)
+ リソースの分離
+ ネットワークの隔離
+ IAM ユーザー、ロール、ポリシーの無効化
+ IAM ユーザー、ロール権限の変更/拒否
+ コンピューティングリソースの終了/停止/削除
+ 影響を受けるリソースからのパブリックアクセスの制限
+ アクセスキー、API キー、パスワードの更新
+ 公開された認証情報と機密情報をスクラブする
AMS では、リスク選好度の範囲内にある主要なインシデントタイプごとに、封じ込め戦略のタイプを検討することをお勧めします。インシデント発生時の意思決定に役立つ基準が明確に文書化されています。適切な戦略を決定するための基準は次のとおりです。
+ リソースへの潜在的な損害
+ 証拠の保存
+ サービスの利用不能状態 (ネットワーク接続、外部関係者に提供されるサービスなど)
+ 戦略の実装に必要な時間とリソース
+ 戦略の有効性 (部分的封じ込め、完全封じ込めなど)
+ ソリューションの永続性 (一方向ドアと双方向ドアの決定など)
+ ソリューションの期間 (例えば、緊急回避策を 4 時間で削除する、一時的な回避策を 2 週間で削除する、永続的なソリューション)。
+ 有効にできるセキュリティコントロールを適用してリスクを軽減し、より効果的な封じ込めを定義して実装する時間を確保します。
封じ込めの速度は重要です。AMS は、短期的および長期的なアプローチを戦略化することで、効率的かつ効果的な封じ込めを実現するための段階的なアプローチを推奨します。
このガイドでは、リソースタイプに基づいてさまざまな手法を含む封じ込め戦略を検討します。
+ 封じ込め戦略
+ AMS はセキュリティインシデントの範囲を特定できますか?
+ できる場合は、すべてのリソース (ユーザー、システム、リソース) を特定します。
+ できない場合は、特定されたリソースに対する次のステップの実行と並行して調査します。
+ リソースは分離できますか?
+ できる場合は、影響を受けるリソースの分離に進みます。
+ できない場合は、システム所有者とマネージャーと協力して、問題を封じ込めるために必要な追加のアクションを決定します。
+ 影響を受けるすべてのリソースは、影響を受けないリソースから分離されていますか?
+ されている場合は、次のステップに進みます。
+ いいえの場合、インシデントがさらにエスカレートしないように、短期的な封じ込めが達成されるまで、影響を受けるリソースを分離し続けます。
+ システムバックアップ
+ 影響を受けたシステムのバックアップコピーは、さらなる分析のために作成されましたか?
+ フォレンジックコピーは暗号化され、安全な場所に保存されていますか?
+ されている場合は、次のステップに進みます。
+ されていない場合は、フォレンジックイメージを暗号化し、誤って使用、損傷、改ざんされないように安全な場所に保存します。
# 根絶
インシデントが含まれていると、次の復旧段階に進む前に、システムを保護するために脅威の原因を完全に排除するために根絶が必要になる場合があります。排除ステップには、マルウェアの削除、侵害されたユーザーアカウントの削除、悪用されたすべての脆弱性の特定と軽減が含まれる場合があります。根絶時には、環境内の影響を受けるすべてのアカウント、リソース、インスタンスを特定して、修復できるようにすることが重要です。
修復ステップが優先されるように、根絶と復旧は段階的なアプローチで行うのがベストプラクティスです。大規模なインシデントの場合、復旧に数か月かかることがあります。初期フェーズの目的は、将来のインシデントを防ぐために、比較的迅速に (数日から数週間) 価値の高い変更を行うことで、全体的なセキュリティを向上させることです。後のフェーズでは、エンタープライズを可能な限り安全に維持するために、長期的な変更 (インフラストラクチャの変更など) と継続的な作業に焦点を当てる必要があります。
一部のインシデントでは、根絶は不要であるか、復旧中に実行されます。
以下の点を考慮してください。
+ 攻撃のリスクを防止または軽減するために、システムを再イメージし、パッチやその他の対策で強化できますか?
+ 攻撃者が残したマルウェアやその他のアーティファクトはすべて削除され、影響を受けるシステムはさらなる攻撃に対して強化されていますか?
# 復旧
AMS はお客様と連携して、システムを通常のオペレーションに復元し、システムが正常に機能していることを確認し、 (該当する場合) 脆弱性を修正して同様のインシデントを防止します。
以下の点を考慮してください。
+ 影響を受けたシステム (複数可) にパッチが適用され、最近の攻撃や将来の攻撃に対して強化されていますか?
+ 影響を受けるシステムを本番環境に復元できる日時を教えてください。
+ 本番環境に復元するシステムが最初の攻撃手法に対して脆弱でないことをテスト、モニタリング、検証するには、どのようなツールを使用しますか?
# インシデント後レポート
イベント後、AMS はすべてのセキュリティインシデントの調査レビュープロセスを実行します。また、AMS はエラー修正 (COE) プロセスを開始し、システムや、改善の余地があると思われる手続きミスによって引き起こされたセキュリティインシデントに対処します。AMS はお客様と連携して、セキュリティ調査エクスペリエンスを継続的に改善します。COE プロセスは、AMS が顧客に影響を与えるイベントの寄与要因を特定し、それらの原因を、同様のイベントが再発するのを防ぐことができる次のアクション項目に接続したり、影響の期間やレベルを軽減したりするのに役立ちます。
セキュリティインシデントの調査レビュープロセスでは、改善の機会を特定するために、以下の項目に対処します。
+ インシデントの開始からインシデント検出、初期影響評価、インシデント処理プロセスの各段階 (封じ込め、復旧など) までの経過時間はどれくらいですか?
+ インシデントの最初のレポートにインシデント対応チームが応答するまでにどのくらい時間がかかりましたか?
+ 初期影響分析にはどのくらいの時間がかかりましたか?
+ これは予防可能でしたか? これを防ぐ可能性のあるツールやプロセスはありますか?
+ これをより早く、どのように検出できたでしょうか。
+ 調査を高速化できたことは何ですか?
+ 文書化されたインシデント対応手順に従ったか? それらは適切ですか?
+ 他の利害関係者との情報共有はタイムリーに行われましたか? どのように改善できますか?
+ 他のチーム (AWS セキュリティ、アカウントチーム、 AWS 開発チーム、カスタマーセキュリティチームの) とのコラボレーションは効果的ですか? そうでない場合、改善できる点は何ですか?
+ どのような準備手順が不足していて、エスカレーションマトリックス、RACI の 、責任共有モデルなどが役に立ちましたか? ランブックを更新する必要がありますか?
+ 初期影響評価と最終影響評価の違いは何ですか? インシデント対応の早い段階で評価の精度を向上させるために何ができますか?
+ 学習した教訓から得られるアクション項目は何ですか?
# AMS のセキュリティインシデント対応ランブック
このセクションには、次の 2 つのランブックが含まれています。
+ [ルートユーザーアクティビティへのレスポンス](sir-root-user.md)
+ [マルウェアイベントへの対応](sir-malware.md)
# ルートユーザーアクティビティへのレスポンス
[ルートユーザーは](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)、 AWS アカウント内のスーパーユーザーです。AMS はルート使用状況をモニタリングすることに注意してください。ルートユーザーは、アカウント設定の変更、請求とコスト管理への AWS Identity and Access Management (IAM) アクセスのアクティブ化、ルートパスワードの変更、多要素認証 (MFA) の有効化など、必要ないくつかのタスクにのみ使用することをお勧めします。詳細については、[「ルートユーザーの認証情報を必要とするタスク](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root)」を参照してください。
計画されたルート使用状況を AMS に通知する方法の詳細については、[「AMS でルートアカウントを使用するタイミングと方法](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html)」を参照してください。
ルートユーザーアクティビティが検出されると、ログインが成功した後にブルートフォース攻撃またはアカウント内のアクティビティを示すログインの試行に失敗すると、イベントが生成され、定義されたセキュリティ連絡先にインシデントが送信されます。
AWS Managed Servicesオペレーションは、計画外のルートユーザーアクティビティを調査し、データ収集、トリアージ、分析を実行し、お客様の指示に従って封じ込めアクティビティを実行し、イベント後分析を行います。
AMS Advanced 運用モデルを使用している場合は、AMS CSDM エンジニアと AMS Ops エンジニアから追加の通信を受け取り、ルートユーザーの認証情報を保護する AMS の責任により、計画外のルートユーザーのアクティビティを確認します。AMS は、パスフォワードを確認するまでルートユーザーのアクティビティを調査します。
## 準備
不要なインシデント対応アクティビティを防ぐために、計画されたイベントのデータと時刻を含む AMS サービスリクエストを送信することで、ルートユーザーの計画された使用について AMS に通知します。
AMS で GameDays を定期的に実施して、AMS の顧客インシデント対応プロセスを検証し、人員とシステムが最新であることを検証し、責任のある個人と連携し、インシデント対応を高速化します。
## フェーズ A: 検出
AMS は、GuardDuty や AMS モニタリングなどの検出ソースを通じて、アカウントのルートアクティビティをモニタリングします。
AMS Accelerate がある場合、運用モデルはインシデントに応答し、予期しないルートユーザーアクティビティの調査を要求します。これが発生すると、AMS オペレーションは侵害されたアカウントのランブックを開始します。
AMS Advanced を使用している場合、運用モデルはインシデントに応答するか、計画されたルートユーザーアクティビティを CSDM に通知し、アクティブなアカウント侵害調査を終了します。
## フェーズ B: 分析
AMS は、アクティビティが承認されていないと判断された場合、ルートユーザーイベントを徹底的に調査します。オートメーションと AMS セキュリティレスポンスチームの両方を使用して、ログとイベントがルートユーザーの異常と予期しない動作について分析されます。ログは、アクティビティが不明であるか、承認されたルートユーザーイベントであるか、さらに調査する必要があるかどうかを判断するのに役立ちます。
内部チェックをサポートするために調査中に提供される情報の例としては、次のようなものがあります。
+ アカウント情報: ルートアカウントはどのアカウントで使用されましたか?
+ ルートユーザーの E メールアドレス: 各ルートユーザーは、組織の E メールアドレスに関連付けられます。
+ 認証の詳細: ルートユーザーが環境にアクセスした場所と時間
+ アクティビティレコード: ルートとしてログインしたときに、ユーザーは何をしましたか? これらのレコードは CloudWatch イベントの形式です。これらのログの読み方を理解することは、調査に役立ちます。
分析情報を受け取る準備を整え、組織内のアカウントの承認された連絡先に到達する方法を計画しておくことがベストプラクティスです。ルートユーザーの名前は個人ではないため、組織内のアカウントに使用されるルート E メールアドレスにアクセスできるユーザーを特定すると、質問を内部ですばやくルーティングできます。
## フェーズ C: 封じ込めと根絶
AMS はセキュリティチームと連携して、承認されたカスタマーセキュリティ担当者の指示に従って封じ込めを実行します。封じ込めオプションには以下が含まれます。
+ 適切な認証情報とキーの更新。
+ アカウントとリソースへのアクティブなセッションの終了。
+ 作成されたリソースを消去します。
封じ込めアクティビティ中、AMS はセキュリティチームと緊密に連携して、ワークロードの中断を最小限に抑え、ルート認証情報が適切に保護されるようにします。
封じ込め計画が完了したら、AMS オペレーションチームと協力して、必要に応じて復旧アクションを行います。
## インシデント後レポート
必要に応じて、AMS は調査レビュープロセスを開始し、学んだ教訓を特定します。COE の完了の一環として、AMS は影響を受ける顧客に関連する検出結果を伝え、インシデント対応プロセスの改善を支援します。
AMS は調査のすべての最終詳細を文書化し、適切なメトリクスを収集し、割り当てられた CSDM や CA など、情報を必要とする AMS 内部チームにインシデントを報告します。
# マルウェアイベントへの対応
Amazon EC2 インスタンスは、組織内のアプリケーションチームがデプロイしたサードパーティーソフトウェアやカスタム開発ソフトウェアなど、さまざまなワークロードをホストするために使用されます。AMS は、AMS によって継続的にパッチ適用および保守されているイメージにワークロードをデプロイすることを提供し、奨励します。
インスタンスのオペレーション中、AMS は Amazon GuardDuty、Endpoint Protection、ネットワークトラフィック、Amazon 内部脅威インテリジェンスフィードなど、さまざまなセキュリティ検出コントロールを通じて動作またはアクティビティの異常をモニタリングします。
AMS Advanced 運用モデルを使用する AMS のお客様は、プロビジョニングされたリソースにエンドポイントセキュリティ (EPS) モニタリングクライアントが自動的にインストールされます。これにより、イベントが検出されたときのセキュリティインシデントの作成など、リソースが 24 時間 365 日モニタリングおよびサポートされます。
AMS は GuardDuty Malware の検出結果もモニタリングします。これらは、有効になっている場合、AMS Advanced と AMS Accelerate の両方で使用できます。詳細については、[Amazon GuardDutyの Malware Protection](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)」を参照してください。
**注記**
Bring [Your Own EPS ](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)を選択した場合、インシデント対応のプロセスはこのページで説明されているプロセスとは異なります。詳細については、参照先のドキュメントを参照してください。
マルウェアが検出されると、インシデントが作成され、イベントが通知されます。この通知の後には、発生した修復アクティビティが続きます。AMS オペレーションは、調査、データ収集、トリアージ、分析を行い、その後、お客様の指示に従って封じ込めアクティビティを実行し、イベント後分析を行います。
## フェーズ A: 検出
AMS は、GuardDuty とエンドポイントセキュリティソリューションのモニタリングを使用して、インスタンスのイベントをモニタリングします。AMS は、検出結果またはアラートタイプに基づいて封じ込めまたはリスクの受け入れを決定するのに役立つ適切なエンリッチメントおよびトリアージアクティビティを決定します。
データ収集は、検出結果タイプに基づいて実行されます。データ収集では、影響を受けたアカウントの内部と外部の両方に複数のデータソースをクエリして、観察されたアクティビティや関心のある設定の全体像を構築します。
AMS は、影響を受けたアカウントまたは AMS 脅威インテリジェンスプラットフォームからの他のアラームやアラート、テレメトリと結果の相関を実行します。
## フェーズ B: 分析
データが収集されると、そのデータが分析され、懸念されるアクティビティや指標が特定されます。調査のこの段階で、AMS はユーザーと協力して、インスタンスとワークロードに関するビジネスとドメインの知識を統合し、何が期待され、何が通常と異なるかを理解するのに役立ちます。
内部チェックをサポートするために調査中に提供される情報の例としては、次のようなものがあります。
+ アカウント情報: マルウェアアクティビティはどのアカウントで観察されましたか?
+ インスタンスの詳細: マルウェアイベントに関連するインスタンス (複数可)
+ イベントタイムスタンプ: アラートはいつトリガーされましたか?
+ ワークロード情報: インスタンスで実行されているものは何ですか?
+ 該当する場合はマルウェアの詳細: マルウェアのファミリーとマルウェアに関するオープンソース情報。
+ ユーザーまたはロールの詳細: アクティビティの影響を受けるユーザーまたはロール
+ アクティビティレコード: インスタンスにはどのようなアクティビティが記録されますか? これらは CloudWatch イベント、およびインスタンスからのシステムイベントの形式です。これらのログの読み方を理解すると、調査に役立ちます。
+ ネットワークアクティビティ: インスタンスに接続しているエンドポイント、インスタンスに接続しているエンドポイント、トラフィック分析とは
調査情報を受け取る準備を整え、組織内のアカウント、インスタンス、ワークロードの適切な連絡先に連絡する方法について計画を立てるのがベストプラクティスです。ネットワークトポロジと予想される接続を理解することで、影響分析を高速化できます。環境で計画されたペネトレーションテストと、アプリケーション所有者が最近実行したデプロイに関する知識があれば、調査を高速化することもできます。
アクティビティが計画および承認されていると判断した場合、インシデントが更新され、調査は終了します。侵害が確認された場合は、お客様と AMS が適切な封じ込め計画を決定します。
## フェーズ C: 封じ込めと根絶
AMS はお客様と協力して、収集されたデータと既知の情報に基づいて、適切な封じ込めアクティビティを決定します。封じ込めオプションには以下が含まれますが、これらに限定されません。
+ スナップショットによるデータの保存
+ インスタンスに出入りするトラフィックを制限するようにネットワークルールを変更する
+ SCP、IAM ユーザー、ロールポリシーを変更してアクセスを制限する
+ インスタンスの終了、停止、または無効化
+ 永続接続の終了
+ 適切な認証情報/キーの更新
インスタンスに対して根絶アクティビティを実行することを選択した場合、AMS はこれを達成するためにサポートします。オプションには以下が含まれますが、これらに限定されません。
+ 不要なソフトウェアの削除
+ 完全にパッチが適用されたクリーンなイメージからインスタンスを再構築し、アプリケーションと設定を再デプロイする
+ 以前のバックアップからインスタンスを復元する
+ ワークロードのホストに適したアプリケーションとサービスを アカウント内の別のインスタンスにデプロイします。
サービスが復元される前に、マルウェアがインスタンスでどのように配信および実行されたかを判断し、インスタンスでのマルウェアの再発を防ぐために追加のコントロールが適用されていることを確認することが重要です。AMS は、フォレンジックをサポートするために必要に応じてフォレンジックパートナーまたはチームに追加のインサイトや情報を提供します。
この時点で、復旧アクティビティのために AMS オペレーションを使用します。AMS はお客様と密接に連携して、ワークロードの中断を最小限に抑え、インスタンスを保護します。
## インシデント後レポート
必要に応じて、AMS は調査レビュープロセスを開始し、学んだ教訓を特定します。COE の完了の一環として、AMS はインシデント対応プロセスの改善に役立つ関連する検出結果を伝えます。
AMS は、調査の最終詳細を文書化し、適切なメトリクスを収集し、割り当てられた CSDM や CA などの情報を必要とする AMS 内部チームにインシデントを報告します。
# AMS Advanced での変更リクエストのセキュリティレビュー
AWS Managed Services 変更リクエストのレビュープロセスにより、AMS は、リクエストされた変更がアカウントでユーザーに代わって実装される際に、セキュリティレビューを実行します。
[AMS Advanced 技術標準](ams-sec-technical-standards.md) は、アカウントのベースラインセキュリティを確立するための最小限のセキュリティ基準、設定、プロセスを定義します。AMS がリクエストされた変更を実装するときは、これらの標準に従います。
AMS は、すべての変更リクエストを AMS 技術標準に照らして評価します。技術標準から逸脱することでアカウントのセキュリティ体制を低下させる可能性のある変更は、セキュリティレビュープロセスを通じて行われます。このプロセスでは、関連するリスクが AMS によって強調表示され、セキュリティとビジネスのニーズのバランスを取るために、承認されたリスク承認者によってレビューおよび承認されます。
# カスタマーセキュリティリスク管理プロセス
AMS Advanced Customer Security Risk Management (CSRM) プロセスは、リスクを明確に特定し、適切な所有者に伝えるのに役立ちます。このプロセスにより、環境内のセキュリティリスクが最小限に抑えられ、特定されたリスクに対する継続的な運用オーバーヘッドが軽減されます。
デフォルトでは、組織の誰かが AMS にマネージド環境への変更の実装をリクエストすると、AMS は変更を確認して、リクエストが技術標準に違反していないかどうかを判断します。これにより、アカウントのセキュリティ体制が変わる可能性があります。セキュリティリスクが高いか非常に高い場合、変更レビューは承認されたセキュリティ担当者によって承認または拒否されます。リクエストされた変更は、AMS のアカウント運用能力に悪影響がないかも評価されます。レビューで潜在的な悪影響が見つかった場合は、AMS 内で追加のレビューと承認が必要です。
CSRM プロセスの承認ベースのワークフローをオプトアウトして、高リスクまたは非常に高いリスクを回避できます。特定のアカウントの CSRM オプションを**標準 CSRM **から**通知のみ**に変更するには、Cloud Service Delivery Managers と協力して 1 回限りのリスク承諾を作成します。Notification **Only** オプションに進むことを選択した場合、AMS はリスクカテゴリに関係なく、リクエストされた変更を実装します。また、AMS は、変更の実装前に承認を求める代わりに、承認されたリスク承認者にリスク通知を送信します。AMS CSRM プロセス、新しい AMS アカウントのオンボーディング時にデフォルトの CSRM オプションを変更する方法、または既存のアカウントを更新する方法については、Cloud Architects または Cloud Service Delivery Managers にお問い合わせください。
**注記**
AMS では、すべてのアカウントで**標準 CSRM **のデフォルトオプションを使用することを強くお勧めします。
# AMS Advanced 技術標準
AMS Advanced 技術標準カテゴリは次のとおりです。
| ID | カテゴリ |
| --- | --- |
| AMS-STD-001 | タグ付け設定 |
| AMS-STD-002 | AWS Identity and Access Management |
| AMS-STD-003 | ネットワークセキュリティ |
| AMS-STD-004 | 侵入テスト |
| AMS-STD-005 | Amazon GuardDuty |
| AMS-STD-006 | ホストセキュリティ |
| AMS-STD-007 | ログ記録 |
| AMS-STD-008 | AMS-MAD |
| AMS-STD-009 | 雑則 |
# AMS Advanced の標準コントロール
AMS の標準コントロールは次のとおりです。
## AMS-STD-001 - タグ付け設定
以下は、001 - タグ付け設定の標準コントロールです。
1. 運用および管理の目的で AMS チームが必要とするすべての AWS リソースには、次のキーと値のペアが必要です。
+ AppId= AMSInfrastructure
+ 環境 = AMSInfrastructure
+ AppName = AMSInfrastructure
+ AMSResource=True
1. 前述のもの以外の AMS チームが必要とするすべてのタグには、AMS プレフィックスのリストに記載されているプレフィックスが必要です (注を参照)。
1. AMS チームに必要なタグ値 (AppId、Environment、AppName) は、変更リクエストに基づいてユーザーが作成した任意のリソースで変更できます。
1. AMS に必要なスタックのタグは、変更リクエストに基づいて削除しないでください。
1. ポイント 2 で説明したように、インフラストラクチャに AMS タグ命名規則を使用することはできません。
1. AMS に必要なリソースにカスタムタグを作成できます (通常は請求とコストレポートのユースケース用)。リソースがテンプレートの更新ではなくスタックの更新によって更新された場合、カスタムタグは保持されます。
**注記**
AMS プレフィックスのリスト
ams-\$1
AWSManagedServices\$1
/ams/\$1
ams\$1
AMS\$1
Ams\$1
mc\$1
MC\$1
Mc\$1
センチネル\$1
センチネル\$1
Managed\$1Services\$1
NewAMS\$1
AWS\$1\$1
aws\$1
VPC\$1\$1
CloudTrail\$1
Cloudtrail\$1
/aws\$1reserved/
取り込み\$1
EPSDB\$1
MMS\$1
TemplateId\$1
StackSet-ams\$1
StackSet-AWS-Landing-Zone
IAMPolicy\$1
customer-mc-\$1
ルート\$1
LandingZone\$1
StateMachine\$1
codedeploy\$1service\$1role
managementhost
sentinel.int。
eps
UnhealthyInServiceBastion
ms-
## AMS-STD-002 - AWS Identity and Access Management (IAM)
| ID | 技術標準 |
| --- | --- |
| 1.0 | タイムアウト期間 |
| 1.1 | フェデレーティッドユーザーのデフォルトのタイムアウトセッションは 1 時間で、最大 4 時間まで増やすことができます。 |
| 1.2 | デフォルトのスタックアクセス時間は 12 時間です。 |
| 2.0 | AWS ルートアカウントの使用状況 |
| 2.1 | 何らかの理由でルートアカウントの使用状況がある場合、Amazon GuardDuty は関連する検出結果を生成するように設定する必要があります。 |
| 2.2 | シングルアカウントランディングゾーン (SALZ) アカウントとマルチアカウントランディングゾーン (MALZ) 管理アカウント (以前はマスター/請求アカウントと呼ばれていました) では、ルートユーザーアカウントで仮想 MFA が有効になっている必要があり、アカウントのオンボーディング中に MFA ソフトトークンが破棄されるため、AMS も顧客もルートとしてログインできません。標準の AWS ルートパスワードの紛失プロセスは、AMS Cloud Service Delivery Manager (CSDM) と組み合わせて実行する必要があります。この設定は、AMS マネージドアカウントのライフサイクル中も維持する必要があります。 |
| 2.3 | ルートアカウントのアクセスキーを作成しないでください。 |
| 3.0 | ユーザーの作成と変更 |
| 3.1 | プログラムによるアクセスと読み取り専用アクセス許可を持つ IAM ユーザー/ロールは、時間制限付きポリシーなしで作成できます。ただし、アカウント内のすべての Amazon Simple Storage Service バケット内のオブジェクト (S3:GetObject など) の読み取りを許可するアクセス許可は許可されません。 |
| 3.1.1 | コンソールアクセスおよび読み取り専用アクセス許可を持つ IAM ヒューマンユーザーは、時間制限ポリシー (最大 180 日) を使用して作成できますが、時間制限ポリシーremoval/renewal/extensionすると、リスク通知が発生します。ただし、アカウント内のすべての S3 S3バケット内のオブジェクト (S3:GetObject など) の読み取りを許可するアクセス許可は許可されません。 |
| 3.2 | コンソールの IAM ユーザーとロール、およびお客様のアカウントのインフラストラクチャ変更アクセス許可 (書き込みとアクセス許可の管理) を持つプログラムによるアクセスは、リスクの承諾なしに作成しないでください。S3 オブジェクトレベルの書き込みアクセス許可には例外があり、特定のバケットが AMS 関連以外のタグのスコープおよびタグ付けオペレーションにある限り、リスクを受け入れずに許可されます。 |
| 3.3 | SALZ または MALZ アプリケーションアカウントcustomer\$1servicenow\$1userおよび \$1コアアカウント\$1 での ServiceNow 統合customer\$1servicenow\$1logging\$1userに必要な という名前のプログラムによるアクセス権を持つ IAM ユーザーは、時間制限付きポリシーなしで作成できます。 |
| 3.4 | SALZ アカウントcustomer\$1cloud\$1endure\$1policyと MALZ アカウントでの CloudEndure 統合に必要な および customer\$1cloud\$1endure\$1deny\$1policy (読み取り専用アクセス) を使用する、プログラムによるアクセス権を持つ IAM ユーザーを作成できますが、計画された移行期間中は制限されたポリシーが必要です。時間制限は、RA なしで最大 180 日間にすることができます。また、SCP は MALZ アカウントの変更を許可され、これらのポリシーを必要な期間にわたって機能させることができます。必要に応じて適切な移行ウィンドウを定義し、必要に応じて調整します。 |
| 4.0 | ポリシー、アクション、APIs |
| 4.1 | SALZ アカウントのすべての IAM ユーザーとロールには、AMS インフラストラクチャを偶発的または意図的な損傷から保護するために、デフォルトのカスタマー拒否ポリシー (CDP) がアタッチされている必要があります。 |
| 4.2 | AMS SCPs は、MALZ のすべての AMS マネージドアカウントで有効にする必要があります。 |
| 4.3 | PutKeyPolicy、、 などの KMS キーに対して管理アクションを実行できる ID はScheduleKeyDeletion、AMS 演算子とオートメーションプリンシパルのみに制限する必要があります。 |
| 4.4 | ポリシーは、リスクを受け入れずに、管理者アクセスに「Effect」:「Allow」と「Action」:「\$1」を「Resource」:「\$1」にしたステートメントを提供してはいけません。 |
| 4.5 | IAM ポリシーには、リスクを受け入れずにバケットに S3:\$1\$1\$1 を許可するアクションを含むアクションを含めることはできません。 |
| 4.6 | カスタマー IAM ポリシーの AMS インフラストラクチャキーの KMS キーポリシーに対する API コールは許可しないでください。 |
| 4.7 | インスタンスの起動または停止、S3 バケットまたは RDS インスタンスの作成など、変更管理プロセス (RFC) をバイパスするアクションは許可しないでください。 |
| 4.8 | Amazon Route 53 の AMS インフラストラクチャ DNS レコードを変更するアクションは許可されません。 |
| 4.9 | 適正プロセスに従って作成されたコンソールアクセスを持つ IAM ヒューマンユーザーは、信頼ポリシー、継承ロール、時間制限ポリシーを除き、直接アタッチされたポリシーを持つことはできません。 |
| 4.10 | 同じアカウント AWS Secrets Manager 内の特定のシークレットまたは名前空間への読み取りアクセス権を持つ Amazon EC2 インスタンスプロファイルを作成できます。 |
| 4.11 | AWS Managed Services Change Management (AMSCM) または AWS Managed Services Service Knowledge Management System (AMSSKMS) のアクセス許可は、任意のロール (SR/Incident/RFC を開く機能) に追加できます。 |
| 4.12 | IAM ポリシーには、AMS Amazon CloudWatch ロググループで log:DeleteLogGroup および logs:DeleteLogStream を許可するアクションを含むアクションを含めることはできません。 |
| 4.13 | マルチリージョンキーを作成するアクセス許可は許可しないでください。 |
| 4.14 | アカウントでまだ作成されていない S3 バケット ARNs へのアクセスを提供するには、サービス固有の S3 条件キーを使用してアカウント番号s3:ResourceAccountを指定します。 |
| 4.15 | カスタムダッシュボードへのアクセスを表示、作成、一覧表示、削除できますが、Amazon CloudWatch ダッシュボードへのアクセスのみを表示および一覧表示できます。 |
| 4.15.1 | S3 ストレージレンズのカスタムダッシュボードを表示、作成、一覧表示、削除できます。 |
| 4.16 | SQL Workbench 関連の完全なアクセス許可は、Amazon Redshift データベースを操作するロール/ユーザーに付与できます。 |
| 4.17 | CLI の代わりに、お客様のロールにアクセス AWS CloudShell 許可を付与できます。 |
| 4.18 | を信頼されたプリンシパル AWS のサービス とする IAM ロールも、IAM 技術標準に準拠している必要があります。 |
| 4.19 | サービスにリンクされたロール (SLRs) は、IAM サービスチームによって構築および管理されるため、AMS IAM 技術標準の対象ではありません。 |
| 4.20 | IAM ポリシーでは、アカウント内のすべてのバケットで Amazon S3 バケットオブジェクト (Amazon S3:GetObject など) への無制限の読み取りアクセスを許可することはできません。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/ams-sec-stand-controls.html) |
| 4.21 | リソースタイプ「savingsplan」のすべての IAM アクセス許可を顧客に付与できます。 |
| 4.22 | AMS エンジニアは、Amazon S3、Amazon S3 オブジェクト、データベース) を手動でコピーまたは移動することはできません。 Amazon Relational Database Service DynamoDB |
| 4.23 | SCP ポリシーを変更して、どの AMS マネージドアカウントでも追加のアクセスを許可しないでください。 |
| 4.24 | AMS インフラストラクチャまたは管理機能を損なう可能性のある SCP ポリシーの変更は許可しないでください。(注: AMS リソースには タグAppId= AMSInfrastructureがあり、AMS 保護された名前空間に従います)。 |
| 4.25 | AMS 自動 IAM プロビジョニング機能は、オプトイン機能としてアカウントで有効にする必要があります。 |
| 4.26 | AMS の人間が引き受けるロールまたはユーザーは、S3、RDS、DynamoDB、Redshift、Elasticache、EFS、FSx の顧客コンテンツにアクセスすることはできません。また、お客様のコンテンツへのアクセスを許可する他の によってリリース AWS のサービス された既知の新しい APIs へのアクセスは、オペレーターロールで明示的に拒否する必要があります。 |
| 5.0 | フェデレーション |
| 5.1 | 認証は、AMS マネージドアカウントのフェデレーションを使用して設定する必要があります。 |
| 5.2 | AMS AD からアクティブディレクトリへの一方向の送信信頼のみが必要です (AMS AD はオンプレミス AD を信頼します)。 |
| 5.3 | AMS への認証に使用される ID ストアは、AMS マネージドアプリケーションアカウントに存在してはいけません。 |
| 6.0 | クロスアカウントポリシー |
| 6.1 | IAM ロールは、顧客レコードに従って、同じ顧客に属する AMS アカウント間で信頼ポリシーを設定できます。 |
| 6.2 | AMS アカウントと非 AMS アカウント間の IAM ロールの信頼ポリシーは、非 AMS アカウントが同じ AMS 顧客によって所有されている場合にのみ設定する必要があります (同じ AWS Organizations アカウントにあることを確認するか、E メールドメインを顧客の会社名と照合します)。 |
| 6.3 | IAM ロールは、リスクの承諾なしに AMS アカウントとサードパーティーアカウント間の信頼ポリシーを設定することはできません。 |
| 6.4 | 同じ顧客の AMS アカウント間でカスタマー管理の CMKs にアクセスするためのクロスアカウントポリシーを設定できます。 |
| 6.5 | AMS アカウントによって非 AMS アカウント内の任意の KMS キーにアクセスするためのクロスアカウントポリシーを設定できます。 |
| 6.6 | サードパーティーアカウントが AMS アカウント内の KMS キーにアクセスするためのクロスアカウントポリシーは、リスクの承諾なしに許可してはいけません。 |
| 6.6.1 | 非 AMS アカウントが AMS アカウント内の任意の KMS キーにアクセスするためのクロスアカウントポリシーは、非 AMS アカウントが同じ AMS 顧客によって所有されている場合にのみ設定できます。 |
| 6.7 | 同じ顧客の AMS アカウント間でデータを保存できる S3 バケットデータまたはリソース (Amazon RDS、Amazon DynamoDB、Amazon Redshift など) にアクセスするためのクロスアカウントポリシーを設定できます。 |
| 6.8 | 読み取り専用アクセスを持つ AMS アカウントから、非 AMS アカウントにデータを保存できる S3 バケットデータまたはリソース (Amazon RDS、Amazon DynamoDB、Amazon Redshift など) にアクセスするためのクロスアカウントポリシーを設定できます。 |
| 6.9 | AMS から非 AMS アカウント (または非 AMS から AMS アカウント) への書き込み権限を持つデータを保存できる S3 バケットデータまたはリソース (Amazon RDS、Amazon DynamoDB、Amazon Redshift など) にアクセスするためのクロスアカウントポリシーは、非 AMS アカウントが同じ AMS 顧客によって所有されている場合にのみ設定する必要があります (同じ AWS Organizations アカウントにあることを確認するか、E メールドメインを顧客の会社名と照合します)。 |
| 6.10 | 読み取り専用アクセス権を持つ AMS アカウントからサードパーティーアカウント (Amazon RDS、Amazon DynamoDB、Amazon Redshift など) にデータを保存できる S3 バケットデータまたはリソースにアクセスするためのクロスアカウントポリシーを設定できます。 |
| 6.11 | 書き込みアクセスを持つ AMS アカウントからサードパーティーアカウント (Amazon RDS、Amazon DynamoDB、Amazon Redshift など) にデータを保存できる S3 バケットデータまたはリソースにアクセスするためのクロスアカウントポリシーを設定しないでください。 |
| 6.12 | AMS カスタマー S3 バケットまたはデータを保存できるリソース (asAmazon RDS、Amazon DynamoDB、Amazon Redshift など) にアクセスするためのサードパーティーアカウントのクロスアカウントポリシーは、リスクの承諾なしに設定しないでください。 |
| 7.0 | ユーザーグループ |
| 7.1 | 読み取り専用アクセス許可と非変更アクセス許可を持つ IAM グループは許可されます。 |
| 8.0 | リソースベースのポリシー |
| 8.1 | AMS インフラストラクチャリソースは、リソースベースのポリシーをアタッチすることで、不正な ID による管理から保護する必要があります。 |
| 8.2 | 別のポリシーを明示的に指定しない限り、リソースは最小特権のリソースベースのポリシーで設定する必要があります。 |
| 9.0 | セルフサービスプロビジョニングサービス (SSPS) |
| 9.1 | AMS のデフォルトの IAM ロールまたはポリシー (インスタンスプロファイル、SSPS、パターンを含む) は、リスク承諾の有無にかかわらず変更しないでください。信頼ポリシーの例外は許可されます (リスク承諾なし)。ロール、ポリシー、またはユーザーの変更のタグ付けは、デフォルトの SSP ロールでも許可されます。 |
| 9.3 | Systems Manager Automation コンソールロールの SSPS ポリシーを、デフォルトロール以外のカスタムロールにアタッチすることはできません。他の SSPS ポリシーをカスタム IAM ロールにアタッチするには、ポリシーをカスタムロールにアタッチしても、デフォルトの SSPS サービスの意図した設計外で追加のアクセス許可が提供されていないことを確認します。 |
## AMS-STD-003 - ネットワークセキュリティ
以下は、003 - Network Security の標準コントロールです。
| ID | 技術標準 |
| --- | --- |
| | ネットワーク |
| 1.0 | すべての EC2 インスタンスには、踏み台ホスト、踏み台ホスト VPC CIDR 範囲、または同じインスタンス VPC CIDR 範囲を介してのみ、SSH または RDP 経由でアクセスする必要があります。 |
| 2.0 | EC2 インスタンスの Elastic IP が許可されます |
| 3.0 | AMS コントロールプレーンとデータプレーン TLS 1.2 以降の拡張を使用する必要があります。 |
| 4.0 | すべての出力トラフィックは、アカウント IGW または TGW を使用して渡す必要があります。 |
| 5.0 | 9.0 に従ってロードバランサーにアタッチされていない場合、セキュリティグループはインバウンドルールでソースを 0.0.0.0/0 にすることはできません |
| 6.0 | S3 バケットまたはオブジェクトは、リスクを受け入れることなく公開してはいけません。 |
| 7.0 | ポート SSH/22 または SSH/2222 (SFTP/2222 以外)、TELNET/23、RDP/3389、WinRM/5985-5986、VPC/5900-5901 TS/CITRIX/1494 または 1604、LDAP/389 または 636、および RPC/135、NETBIOS/137-139 でのサーバー管理アクセスは、セキュリティグループを介して VPC の外部から許可してはいけません。 |
| 8.0 | ポート (MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433) またはカスタムポートでのデータベース管理アクセスは、セキュリティグループを介して DX、VPC ピア、または VPN 経由で VPC にルーティングされないパブリック IPs から許可してはいけません。 |
| 8.1 | 顧客データを保存できるリソースは、パブリックインターネットに直接公開しないでください。 |
| 9.0 | インターネットからのポート HTTP/80、HTTPS/8443、HTTPS/443 経由の直接アプリケーションアクセスは、ロードバランサーにのみ許可されますが、EC2 インスタンス、ECS/EKS/Fargate コンテナなどのコンピューティングリソースに直接アクセスすることはできません。 |
| 10.0 | お客様のプライベート IP 範囲からのポート HTTP/80 および HTTPS/443 を介したアプリケーションアクセスを許可できます。 |
| 11.0 | AMS インフラストラクチャへのアクセスを制御するセキュリティグループへの変更は、リスクを受け入れることなく許可してはなりません。 |
| 12.0 | AMS セキュリティとは、セキュリティグループがインスタンスにアタッチされるたびに標準を指します。 |
| 13.0 | ポート 3389 および 22 のカスタマー踏み台アクセスは、DX、VPC ピア、または VPN を介して VPC にルーティングされるプライベート IP 範囲からのみ許可する必要があります。 |
| 14.0 | AMS から非 AMS アカウント (または非 AMS から AMS アカウント) への VPCs とのプライベートホストゾーンのクロスアカウント関連付けは、非 AMS アカウントが同じ AMS 顧客によって所有されている (同じ AWS Organization アカウントにあることを確認するか、E メールドメインを顧客の会社名と照合する) 場合にのみ、内部ツールを使用して設定する必要があります。 |
| 15.0 | 同じ顧客に属するアカウント間の VPC ピアリング接続を許可できます。 |
| 16.0 | AMS ベース AMIs は、両方のアカウントが同じ顧客によって所有されている (同じ AWS Organizations アカウントにあることを確認するか、E メールドメインを顧客の会社名と照合する) 限り、AMS 以外のアカウントと共有できます。 |
| 17.0 | FTP ポート 21 は、リスクを受け入れることなく、どのセキュリティグループでも設定しないでください。 |
| 18.0 | トランジットゲートウェイを介したクロスアカウントネットワーク接続は、すべてのアカウントが顧客によって所有されている限り許可されます。 |
| 19.0 | プライベートサブネットをパブリックにすることは許可されていません |
| 20.0 | サードパーティーアカウント (お客様が所有していないアカウント) との VPC ピアリング接続は許可しないでください。 |
| 21.0 | サードパーティーアカウント (お客様が所有していないアカウント) との Transit Gateway アタッチメントは許可されません。 |
| 22.0 | AMS がお客様にサービスを提供するために必要なネットワークトラフィックは、お客様のネットワーク送信ポイントでブロックしないでください。 |
| 23.0 | 同じ顧客 AWS アカウント が所有する とのリゾルバールールの共有は、リスク通知で許可されます |
| 19.0 | ICMP |
| 19.1 | 顧客インフラストラクチャからの Amazon EC2 へのインバウンド ICMP リクエストには、リスク通知が必要です。 |
| 19.2 | DX、VPC ピア、またはセキュリティグループ経由の VPN 経由で Amazon VPC にルーティングされたパブリック IPs からのインバウンドリクエストが許可されます。 |
| 19.3 | セキュリティグループ経由で DX、VPC ピア、または VPN 経由で Amazon VPC にルーティングされないパブリック IPs からのインバウンドリクエストには、リスク承諾が必要です。 |
| 19.4 | Amazon EC2 から任意の宛先へのアウトバウンド ICMP リクエストが許可されます。 |
| 20.0 | セキュリティグループ共有 |
| 20.1 | セキュリティグループがこのセキュリティ基準を満たしている場合、同じアカウントの VPCs 間、および同じ組織内のアカウント間で共有できます。 |
| 20.2 | セキュリティグループがこの標準を満たさず、このセキュリティグループに以前リスク承諾が必要だった場合、同じアカウントの VPCs 間、または同じ組織内のアカウント間でセキュリティグループ共有機能を使用することは、その新しい VPC またはアカウントのリスク承諾なしに許可されません。 |
## AMS-STD-004 - 侵入テスト
以下は、004 - 侵入テストの標準コントロールです。
1. AMS はペンテストインフラストラクチャをサポートしていません。お客様の責任となります。例えば、Kali は Linux の AMS でサポートされているディストリビューションではありません。
1. お客様は[、侵入テスト](https://aws.amazon.com/security/penetration-testing/)に従う必要があります。
1. AMS は、顧客がアカウント内でインフラストラクチャ侵入テストを実行する場合に備えて、24 時間前に事前に通知する必要があります。
1. AMS は、顧客による変更リクエストまたはサービスリクエストに明示的に記載されている顧客要件ごとに、顧客のペンテストインフラストラクチャをプロビジョニングします。
1. お客様のペンテストインフラストラクチャの ID 管理はお客様の責任です。
## AMS-STD-005 - GuardDuty
005 の標準コントロール - GuardDuty を次に示します。
1. GuardDuty は、すべてのカスタマーアカウントで常に有効にする必要があります。
1. MALZ のカスタマーマネージドアプリケーションアカウント (CMA) からの GuardDuty の検出結果では、運用チームのアラームは発生しません。
1. GuardDuty アラートは、同じアカウント、または同じ組織内の他のマネージドアカウントに保存する必要があります。
1. GuardDuty の信頼できる IP リスト機能を使用しないでください。代わりに、自動アーカイブを代替として使用できます。これは監査目的に役立ちます。
1. 委任管理者は、リスクを受け入れることなく他のアカウントで GuardDuty を無効にするなど、高特権アクションを実行できるため、GuardDuty 管理者の委任を MALZ で有効にすることはできません。
1. GuardDuty 自動アーカイブフィルターは、最大リターンの最小スコープを使用する必要があります。例えば、AMS が異なる CIDR ブロックに複数の予測不可能な IPs を表示し、適切な企業 ASN がある場合は、ASN を使用します。ただし、特定の範囲または /32 アドレスにスコープダウンできる場合は、それらにスコープダウンします。
## AMS-STD-006 - ホストセキュリティ
006 - ホストセキュリティの標準コントロールを次に示します。
+ ウイルス対策エージェントは常にすべての EC2 インスタンスで実行されている必要があります (Trend Micro DSM など)。
+ マルウェア対策モジュールを有効にする必要があります。
+ EPS エージェントには、スキャンするすべてのディレクトリとファイルが含まれている必要があります。
+ ウイルス対策ソリューションによって隔離されたファイルは、オンデマンドで と共有できます。
+ サードパーティーのエンドポイントセキュリティソリューションをインストールしないでください。
+ ウイルス対策署名の更新頻度は、少なくとも 1 日に 1 回に設定する必要があります。
+ スケジュールされたスキャン頻度は、少なくとも 1 か月に 1 回に設定する必要があります。
+ リアルタイム (オンアクセス) スキャンは常に有効にして実行する必要があります。
+ AMS は、AMS によって所有または作成されていないカスタムスクリプトをインスタンスで実行しないでください。(注: これを行うには、スタック管理者アクセス CT 経由でスタック管理者アクセスを使用するか、[AWS Systems Manager オートメーション (AMS SSPS) ](https://docs.aws.amazon.com/managedservices/latest/userguide/sys-man-runbook.html)を使用します。
+ Windows ホストでネットワークレベル認証 (NLA) を無効にすることはできません。
+ ホストオペレーティングシステムは、設定されたパッチサイクルに従って最新のセキュリティパッチで最新である必要があります。
+ AMS マネージドアカウントには、アカウントにアンマネージドインスタンスがあってはなりません。
+ AMS によるインスタンスでのローカル管理者アカウントの作成は許可されません。
+ EC2 のキーペアを作成しないでください。
+ End of Life (EOL) として宣言されたオペレーティングシステムを使用してはならず、ベンダーまたはサードパーティーによって提供される追加のセキュリティサポートはありません。
## AMS-STD-007 - ログ記録
以下は、007 の標準コントロール - ログ記録です。
| ID | 技術標準 |
| --- | --- |
| 1.0 | ログタイプ |
| 1.1 | OS ログ: すべてのホストは、少なくともホスト認証イベント、昇格された権限のすべての使用のためのアクセスイベント、および成功と失敗の両方を含むアクセスと権限設定に対するすべての変更のためのアクセスイベントを記録する必要があります。 |
| 1.2 | AWS CloudTrail: CloudTrail 管理イベントのログ記録を有効にし、S3 バケットにログを配信するように設定する必要があります。 |
| 1.3 | VPC フローログ: すべてのネットワークトラフィックログは VPC フローログを介して記録する必要があります。 |
| 1.4 | Amazon S3 Server Access Logging: ログを保存する AMS が義務付ける S3 バケットでは、サーバーアクセスのログ記録が有効になっている必要があります。 |
| 1.5 | AWS Config スナップショット: すべてのリージョンでサポートされているすべてのリソースの設定変更を記録し、設定スナップショットファイルを少なくとも 1 日に 1 回 S3 バケットに配信 AWS Config する必要があります。 |
| 1.6 | Endpoint Protection System (EPS) ログ: EPS ソリューションのログ記録を有効にし、CloudWatch Logs ロググループにログを配信するように設定する必要があります。 |
| 1.7 | アプリケーションログ: お客様は、アプリケーションへのログ記録を有効にし、CloudWatch Logs ロググループまたは S3 バケットに保存できます。 |
| 1.8 | S3 オブジェクトレベルのログ記録: お客様は S3 バケットでオブジェクトレベルのログ記録を有効にすることができます。 |
| 1.9 | サービスログ記録: お客様は、コアサービスと同様に SSPS サービスのログを有効にして転送できます。 |
| 1.10 | Elastic Load Balancing (Classic/Application Load Balancer/Network Load Balancer) ログ: アクセスログエントリとエラーログエントリは、AMS 2.0 マネージド S3 バケットに保存する必要があります。 |
| 2.0 | アクセスコントロール |
| 2.1 | ログと CloudWatch Logs; ロググループを保存する AMS に必要な S3 バケットへの書き込みまたは削除アクセスがあってはなりません。 |
| 2.2 | アカウントのすべてのログへの読み取り専用アクセスが必要です。 |
| 2.3 | ログを保存する AMS が義務付ける S3 バケットは、バケットポリシーの原則としてサードパーティーアカウントのユーザーを許可してはいけません。 |
| 2.4 | CloudWatch Logs ロググループからのログは、承認されたセキュリティ連絡先からの明示的な承認なしに削除しないでください。 |
| 3.0 | ログの保持 |
| 3.1 | AMS が義務付ける CloudWatch Logs ロググループのログの最小保持期間は 90 日間である必要があります。 |
| 3.2 | ログを保存する AMS が義務付ける S3 バケットには、ログに 18 か月の最小保持期間が必要です。 |
| 3.3 | AWS Backup スナップショットは、サポートされているリソースで 31 日以上保持できる必要があります。 |
| 4.0 | Encryption |
| 4.1 | 暗号化は、ログを保存する AMS Teams に必要なすべての S3 バケットで有効にする必要があります。 |
| 4.2 | 顧客アカウントから他のアカウントへのログ転送は暗号化する必要があります。 |
| 5.0 | 整合性 |
| 5.1 | ログファイルの整合性メカニズムを有効にする必要があります。「ログファイルの検証」は、AMS チームに必要な AWS CloudTrail 証跡で設定する必要があります。 |
| 6.0 | ログ転送 |
| 6.1 | すべてのログは、ある AMS アカウントから同じ顧客の別の AMS アカウントに転送できます。 |
| 6.2 | 非 AMS アカウントが同じ AMS 顧客によって所有されている場合にのみ、すべてのログを AMS から非 AMS アカウントに転送できます。 |
| 6.3 | 顧客アカウントからのログは、 (顧客が所有していない) サードパーティーアカウントに転送しないでください。 |
## AMS-STD-008 - AMS-MAD
以下は、008 - AMS-MAD の標準コントロールです。
| ID | 技術標準 |
| --- | --- |
| 1.0 | アクセス管理 |
| 1.1 | カスタマーアカウントでマネージド AD を管理するために管理ホストにログインできるのは、インタラクティブログインとオートメーションタスクを持つ AMS 特権ユーザーのみです。 |
| 1.2 | AD 管理者には、委任管理者権限 (AMS 委任管理者グループ) のみが必要です。 |
| 1.3 | お客様の AD 環境 (管理ホストまたはインスタンス) にログインするエンジニアには、期限付きアクセスが必要です。 |
| 1.4 | お客様は、EC2 インスタンスで Remote Server Administrator Tools を使用して AD オブジェクトへの読み取り専用アクセスが可能です。 |
| 1.5 | Active Directory ユーザーまたはグループに対する管理権限は許可しないでください。 |
| 1.6 | AWS 同じ顧客 AWS アカウント が所有する とのディレクトリ共有は、リスク通知で許可されます。 |
| 2.0 | サービスアカウント |
| 2.1 | グループマネージドサービスアカウント (gMSA) は、標準サービスアカウントではなく、アプリケーションでサポートされている場所で使用する必要があります。 |
| 2.2 | 他のすべてのサービスアカウントは、リスク承諾プロセスの後に作成する必要があります。 |
| 2.3 | AD セキュリティグループは、お客様が明示的に要求しない限り、再利用しないでください。新しい AD グループを作成する必要があります。サービスアカウントへのアクセスをリクエストするコンピュータオブジェクトは、新しいセキュリティグループに追加する必要があります。 |
| 2.4 | gMSA サービスアカウント (複数可) は、「マネージドサービスアカウント」組織単位 (OU) の下に追加する必要があります。 |
| 2.5 | gMSA 以外のサービスアカウント (複数可) は、「Users→Service Accounts」OU の下に追加する必要があります。 |
| 3.0 | グループポリシーオブジェクト (GPO) |
| 3.1 | 「Windows 設定 > セキュリティ設定」 GPO の設定は、アカウントのセキュリティ体制を現在の状態から何らかの方法で低下させる場合は変更しないでください。 |
| 3.2 | MALZ では、GPO の作成をリクエストするアプリケーションアカウントから送信された RFCs は、GPO をアプリケーションアカウントに対応する OU にリンクする必要があります。すべてのアカウントに影響する GPOs は、共有サービスアカウントからのものである必要があります。 |
| 3.3 | デフォルトの RDP アイドルセッションタイムアウトは、アクティブディレクトリドメイン内のすべてのサーバーで 15 分に設定する必要があります。 |
| 4.0 | Active Directory の信頼 |
| 4.1 | 一方向アウトバウンド信頼 (AMS がホストするディレクトリからカスタマーディレクトリへ) は、条件付きフォワーダーの IPs が DX、VPC ピア、または VPN 経由で VPC にルーティングされる場合に許可されます。 |
| 5.0 | その他 |
| 5.1 | ログファイルの整合性メカニズムを有効にする必要があります。「ログファイルの検証」は、AMS チームに必要な AWS CloudTrail 証跡で設定する必要があります。 |
| 6.0 | ログ転送 |
| 6.1 | 顧客ユーザー、グループ、コンピュータオブジェクト、OU、またはその他のエンティティは、AMS 命名規則に従って AMS 命名規則を使用してはなりません。 |
| 6.2 | すべての OUs は AMS によって管理される必要があります。 |
## AMS-STD-009 - その他
以下は、009 - Miscellaneous の標準コントロールです。
+ リソース、オブジェクト、データベース、またはファイルシステムで暗号化が有効になっている場合は、無効にしないでください。
# 環境に高い、または非常に高いセキュリティリスクをもたらす変更
以下の変更により、 環境のセキュリティリスクが高くなるか、非常に高くなります。
**AWS Identity and Access Management**
+ High\$1Risk-IAM-001: ルートアカウントのアクセスキーを作成する
+ High\$1Risk-IAM-002: 追加アクセスを許可する SCP ポリシーの変更
+ High\$1Risk-IAM-003: AMS インフラストラクチャを破損する可能性のある SCP ポリシーの変更
+ High\$1Risk-IAM-004: 顧客アカウントのインフラストラクチャ変更アクセス許可 (書き込み、アクセス許可管理、またはタグ付け) を持つロール/ユーザーの作成
+ High\$1Risk-IAM-005: AMS アカウントとサードパーティーアカウント (顧客が所有していない) 間の IAM ロール信頼ポリシー
+ High\$1Risk-IAM-006: サードパーティーアカウントによって AMS アカウントから任意の KMS キーにアクセスするためのクロスアカウントポリシー)
+ High\$1Risk-IAM-007: データを保存できる AMS カスタマー S3 バケットまたはリソース (Amazon RDS、Amazon DynamoDB、Amazon Redshift など) にアクセスするためのサードパーティーアカウントのクロスアカウントポリシー
+ High\$1Risk-IAM-008: ユーザーアカウントのインフラストラクチャ変更アクセス許可を持つ IAM アクセス許可を割り当てる
+ High\$1Risk-IAM-009: アカウント内のすべての S3 バケットの一覧表示と読み取りを許可する
+ High\$1Risk-IAM-010: 読み取り/書き込みアクセス許可を持つ自動 IAM プロビジョニング
**ネットワークセキュリティ**
+ High\$1Risk-NET-001: インターネットからの Open OS 管理ポート SSH/22 または SSH/2222 (SFTP/2222 ではない)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/5900-5901 TS/CITRIX/1494 または 1604、LDAP/389 または 636、NETBIOS/137-139
+ High\$1Risk-NET-002: データベース管理ポート MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433、またはインターネットからの管理カスタマーポートを開く
+ High\$1Risk-NET-003: 任意のコンピューティングリソースでアプリケーションポート HTTP/80、HTTPS/8443、HTTPS/443 を直接開きます。例えば、インターネットからの EC2 インスタンス、ECS/EKS/Fargate コンテナなど
+ High\$1Risk-NET-004: AMS インフラストラクチャへのアクセスを制御するセキュリティグループへの変更
+ High\$1Risk-NET-006: サードパーティーアカウントとの VPC ピアリング (顧客が所有していない)
+ High\$1Risk-NET-007: カスタマーファイアウォールをすべての AMS トラフィックの出力ポイントとして追加する
+ High\$1Risk-NET-008: サードパーティーアカウントとの Transit Gateway アタッチメントは許可されていません
+ High\$1Risk-S3-001: S3 バケットでパブリックアクセスをプロビジョニングまたは有効にする
**ログ記録**
+ High\$1Risk-LOG-001: CloudTrail を無効にします。(Ops Site Manager の承認が必要)
+ High\$1Risk-LOG-002: VPC フローログを無効にします。(Ops Site Manager の承認が必要)
+ High\$1Risk-LOG-003: AMS マネージドアカウントからサードパーティーアカウント (お客様が所有していない) への任意の方法 (S3 イベント通知、SIEM エージェントプル、SIEM エージェントプッシュなど) によるログ転送
+ High\$1Risk-LOG-004: CloudTrail に非 AMS 証跡を使用する
**ホストセキュリティ**
+ High\$1Risk-HOST-001: 何らかの理由でアカウントのエンドポイントセキュリティを無効にします。(Ops Site Manager の承認が必要)
+ High\$1Risk-HOST-002: リソースまたはアカウントレベルでパッチ適用を無効にします。
+ High\$1Risk-HOST-003: アカウントにアンマネージド EC2 インスタンスをデプロイします。
+ High\$1Risk-HOST-004: 顧客が提供するカスタムスクリプトを実行する。
+ High\$1Risk-HOST-005: インスタンスでのローカル管理者アカウントの作成。
+ High\$1Risk-HOST-006: Trend Micro EPS ファイルタイプ/拡張スキャンの除外、またはエンドポイントでのマルウェア保護の無効化。
**注記**
リスクの承諾は、侵入テスト、脆弱性スキャン、またはプロアクティブアクションを必要とするイベント/既知のパフォーマンス問題に影響を与えるサービスに関連する EPS マルウェア対策の除外または GuardDuty 抑制ルールには必要ありません。このような状況では、リスク通知で十分です。
+ High\$1Risk-HOST-007: EC2 の KeyPair を作成する
+ High\$1Risk-HOST-008: EC2 でエンドポイントセキュリティを無効にする
+ High\$1Risk-HOST-009: End of Life (EOL) OS を使用するアカウント
**Miscellaneous**
+ High\$1Risk-ENC-001: 有効な場合、任意のリソースで暗号化を無効にする
**マネージド Active Directory**
+ High\$1Risk-AD-001: アクティブなディレクターユーザーまたはグループに管理者権限を付与する
+ High\$1Risk-AD-002: アカウントのセキュリティ体制を軽減できる GPO ポリシー