翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用して PCI DSS 4.0 の運用上のベストプラクティスを検証する AWS Config
Amazon Web Services、Tala Qraitem、Alex Goff
概要
ペイメントカード業界データセキュリティ基準 (PCI DSS)
PCI DSS バージョン 4.0 は、絶えず変化する要件に対処し、説明や追加のガイダンスを提供し、標準の構造と形式を改善するために公開されました。変更の詳細については、「PCI DSS バージョン 3.2.1 から 4.0 への変更の概要
AWS Config コンフォーマンスパックは、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成するのに役立つ AWS Config ルールと修復アクションのコレクションです。コンフォーマンスパックは、 AWS アカウント および に単一のエンティティとしてデプロイすることも AWS リージョン、 の組織全体にデプロイすることもできます AWS Organizations。
PCI DSS バージョン 4.0 のコンフォーマンスパックは、バージョン 3.2.1 のコンフォーマンスパックを元に構築し、補強を加えたものです。コンフォーマンスパックのルールは、標準のルールにマッピングされます。詳細については、添付ファイルセクションで提供されているマッピングを参照してください。このコンフォーマンスパックは、2 つのバージョン (グローバルリソースタイプを含むバージョンと除外するバージョン) から選択できます。
重要
コンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準に準拠した設計にはなっていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
前提条件と制限
前提条件
アクティブな AWS アカウントがある。
コンフォーマンスパックの前提条件を満たしている。
PCI DSS バージョン 3.2.1 コンフォーマンスパック
をデプロイしている。 コンフォーマンスパックにアクセスして AWS Config 管理するアクセス許可がある。ポリシーの例については、このパターンの追加情報セクションを参照してください。
制限事項
AWS アカウント には、それぞれ の制限と呼ばれるデフォルトのクォータがあります AWS のサービス。特に明記していない限り、クォータはリージョン固有です。一部のクォータについては引き上げをリクエストできますが、引き上げできないクォータもあります。単一アカウントコンフォーマンスパックおよび組織コンフォーマンスパックの制限など、AWS Config サービスの制限について十分に理解しておいてください。
グローバルリソースタイプを含むこのコンフォーマンスパックのバージョンは、
us-east-1リージョンでのデプロイのみを対象としています。グローバルリソースタイプを除外するこのコンフォーマンスパックのバージョンは、次のリージョンでのデプロイのみを対象としています。
ap-east-1ap-south-1ap-northeast-2ap-southeast-1ap-southeast-2ap-northeast-1ca-central-1eu-central-1eu-west-1eu-west-2eu-west-3eu-north-1sa-east-1us-east-2us-west-1us-west-2
ツール
AWS のサービス
AWS Config は、 のリソースの詳細ビュー AWS アカウント と、その設定方法を提供します。リソースがどのように相互に関連しているか、またそれらの構成が時間の経過とともにどのように変化したかを特定するのに役立ちます。
AWS Systems Manager は、 AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立ちます。これにより、アプリケーションとリソースの管理が簡素化され、運用上の問題を検出して解決する時間を短縮し、 AWS リソースを大規模に安全に管理できます。
コードリポジトリ
コンフォーマンスパックは、AWS Config コンフォーマンスパック
エピック
| タスク | 説明 | 必要なスキル |
|---|---|---|
コンフォーマンスパックをダウンロードします。 | コンフォーマンスパックを コンフォーマンスパックを別のリージョンにデプロイする場合は、Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml | DevOps エンジニア |
(オプション) コンフォーマンスパックに変更を加えます。 | 組織の固有のニーズに合わせて、コンフォーマンスパックテンプレートに変更を加えることができます。例えば、カスタム修復アクションを作成できます。テンプレートを作成および変更する方法の詳細については、 AWS Config ドキュメントの「カスタムコンフォーマンスパックのテンプレートの作成」を参照してください。 | AWS 全般 |
適合パックをデプロイします。 | ターゲット AWS アカウント または にデプロイする場合は AWS リージョン、 AWS Config ドキュメントの「適合パックのデプロイ」の手順に従います。 AWS マネジメントコンソール または AWS Command Line Interface () を使用できますAWS CLI。 で組織全体にコンフォーマンスパックをデプロイする場合は AWS Organizations、 AWS Systems Manager ドキュメントの「高速セットアップを使用して AWS Config コンフォーマンスパックをデプロイする」の手順に従います。 | AWS 全般 |
(オプション) コンフォーマンスパックを編集します。 | コンフォーマンスパックを編集する場合は、 AWS Config ドキュメントの「コンフォーマンスパックの編集」の手順に従います。 AWS マネジメントコンソール または を使用できます AWS CLI。 | AWS 全般 |
(オプション) コンフォーマンスパックを削除します。 | コンフォーマンスパックを削除する場合は、 AWS Config ドキュメントの「コンフォーマンスパックの削除」の手順に従います。 AWS マネジメントコンソール または を使用できます AWS CLI。 | AWS 全般 |
関連リソース
AWS リソース
のコンフォーマンスパック AWS Config (AWS Config ドキュメント)
高速セットアップを使用して AWS Config コンフォーマンスパックをデプロイする (Systems Manager ドキュメント)
での PCI DSS コンプライアンス AWS
(AWS ウェブサイト) AWSにおける PCI DSS バージョン 4.0
(コンプライアンスガイド)
PCI DSS に関するリソース
追加情報
以下は、ユーザーがコンフォーマンスパックにアクセスして AWS Config 管理できるようにするサンプル AWS Identity and Access Management (IAM) ポリシーです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:PutConformancePack", "config:DeleteConfigRule", "config:DeleteRemediationConfiguration", "config:DeleteConformancePack", "config:PutRemediationConfigurations", "config:BatchGetAggregateResourceConfig", "config:BatchGetResourceConfig", "config:Get*", "config:Describe*", "config:Deliver*", "config:List*", "config:Select*" ], "Resource": "*" } ] }
アタッチメント
このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip」
