Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Règles de curated SCPs et de configuration
Règles de configuration SCPs et de curation pour AMS Advanced.
+ **Politiques de contrôle des services (SCPs)** : SCPs Les politiques fournies s'ajoutent aux politiques AMS par défaut.
Vous pouvez utiliser ces contrôles de bibliothèque en tandem avec ceux par défaut pour répondre à des exigences de sécurité spécifiques.
+ **Règles de configuration** : comme mesure de base, AMS recommande d'appliquer des packs de conformité (voir [Packs de conformité](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) dans le AWS Config guide) en plus des règles de configuration AMS par défaut (voir AMS Artifacts pour les règles par défaut). Les packs de conformité couvrent la majorité des exigences de conformité et AWS les met régulièrement à jour.
Les règles répertoriées ici peuvent être utilisées pour combler les lacunes spécifiques à des cas d'utilisation qui ne sont pas couvertes par les packs de conformité
**Note**
Au fur et à mesure que les règles par défaut et les packs de conformité d'AMS sont mis à jour au fil du temps, vous pouvez voir des doublons de ces règles.
AMS recommande de nettoyer régulièrement les règles de configuration dupliquées en général.
Pour AMS Advanced, les règles de configuration ne doivent pas utiliser de corrections automatiques (voir Corriger [les ressources AWS non conformes par les règles de configuration AWS](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)) afin d'éviter les modifications. out-of-band
## SCP-AMS-001 : Restreindre la création d'EBS
Empêchez la création de volumes EBS si le chiffrement n'est pas activé.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002 : Restreindre le lancement d'EC2
Empêchez le lancement d'une instance EC2 si le volume EBS n'est pas chiffré. Cela inclut le refus d'un lancement EC2 non chiffré, AMIs car ce SCP s'applique également aux volumes racines.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001 : Restreindre les soumissions de RFC
Empêchez les rôles AMS par défaut de soumettre des données automatisées spécifiques, RFCs telles que **Create VPC ou Delete **VPC****. Cela est utile si vous souhaitez appliquer des autorisations plus détaillées à vos rôles fédérés.
Par exemple, vous souhaiterez peut-être que la valeur par défaut `AWSManagedServicesChangeManagement Role` soit en mesure de soumettre la plupart des informations disponibles, à l' RFCs exception de celles qui autorisent la création et la suppression d'un VPC, la création de sous-réseaux supplémentaires, le transfert d'un compte d'application, la mise à jour ou la suppression de fournisseurs d'identité SAML :
## SCP-AMS-003 : Restreindre la création d'EC2 ou de RDS dans AMS
Empêchez la création d'instances Amazon EC2 et RDS qui ne possèdent pas de balises spécifiques, tout en autorisant le `AMS Backup IAM` rôle par défaut AMS à le faire. Cela est nécessaire pour la reprise après sinistre ou la DR.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004 : Restreindre les téléchargements de S3
Empêchez le téléchargement d'objets S3 non chiffrés.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005 : Restreindre l'accès à l'API et à la console
Empêchez l'accès à la console AWS et à l'API pour les demandes provenant d'adresses IP erronées connues en tant que client déterminé InfoSec.
## SCP-AMS-006 : Empêcher l'entité IAM de supprimer le compte membre de l'organisation
Empêcher une Gestion des identités et des accès AWS entité de supprimer des comptes de membres de l'organisation.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007 : Empêchez le partage de ressources avec des comptes extérieurs à votre organisation
Empêchez le partage de ressources avec des comptes externes extérieurs à votre AWS organisation
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008 : Empêcher le partage avec des organisations ou des unités organisationnelles () OUs
Empêchez le partage de ressources avec and/or une unité d'organisation associée à un compte.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources
Empêchez les comptes membres d'accepter des invitations AWS RAM à rejoindre des partages de ressources. Cette API ne prend en charge aucune condition et empêche les partages uniquement à partir de comptes externes.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010 : Empêcher les actions d'activation et de désactivation de la région du compte
Empêchez d'activer ou de désactiver de nouvelles AWS régions pour vos AWS comptes.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011 : Empêcher les actions de modification de facturation
Empêchez les modifications de la configuration de facturation et de paiement.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012 : Empêcher la suppression ou la modification de données spécifiques CloudTrails
Empêchez les modifications apportées à des AWS CloudTrail sentiers spécifiques.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013 : Empêcher la désactivation du chiffrement EBS par défaut
Empêchez la désactivation du chiffrement Amazon EBS par défaut.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014 : Empêcher la création d'un VPC et d'un sous-réseau par défaut
Empêchez la création d'un Amazon VPC et de sous-réseaux par défaut.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015 : Empêcher la désactivation et la modification GuardDuty
Empêchez GuardDuty la modification ou la désactivation d'Amazon.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016 : Empêche l'activité de l'utilisateur root
Empêchez l'utilisateur root d'effectuer une quelconque action.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017 : Empêcher la création de clés d'accès pour l'utilisateur root
Empêchez la création de clés d'accès pour l'utilisateur root.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018 : Empêcher la désactivation du blocage de l'accès public au compte S3
Empêchez la désactivation du blocage de l'accès public d'un compte Amazon S3. Cela empêche tout compartiment du compte de devenir public.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019 : Empêcher la désactivation d'AWS Config ou la modification des règles de configuration
Empêchez la désactivation ou la modification des AWS Config règles.
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020 : Empêche toutes les actions de l'IAM
Empêchez toutes les actions IAM.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021 : Empêche la suppression de journaux, de groupes et de flux CloudWatch
Empêchez la suppression de groupes et de flux Amazon CloudWatch Logs.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022 : Empêcher la suppression de Glacier
Empêchez la suppression d'Amazon Glacier.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023 : Empêcher la suppression d'IAM Access Analyzer
Empêchez la suppression d'IAM Access Analyzer.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024 : Empêcher les modifications du Security Hub CSPM
Empêcher la suppression de AWS Security Hub CSPM.
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025 : Empêcher la suppression sous Directory Service
Empêcher la suppression de ressources sous Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026 : Empêcher l'utilisation d'un service refusé
Empêchez l'utilisation de services refusés.
**Note**
Remplacez {{service1}} et {{service2}} par les noms de vos services. Exemple {{access-analyzer}} ou{{IAM}}.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["{{service1}}:*", "{{service2}}:*"]
}
```
## SCP-AMS-027 : Empêchez l'utilisation de services refusés dans des régions spécifiques
Empêchez l'utilisation de services refusés dans des régions spécifiques AWS .
**Note**
Remplacez {{service1}} et {{service2}} par les noms de vos services. Exemple {{access-analyzer}} ou{{IAM}}.
Remplacez {{region1}} et {{region2}} par les noms de vos services. Exemple {{us-west-2}} ou{{use-east-1}}.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["{{service1}}:*", "{{service2}}:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"{{region1}}",
"{{region2}}"
]
}
}
}
```
## SCP-AMS-028 : Empêche la modification des tags, sauf par des personnes autorisées
Empêchez les utilisateurs de modifier les balises, à l'exception des principaux autorisés. Utilisez des balises d'autorisation pour autoriser les principaux. Les balises d'autorisation doivent être associées aux ressources et aux principaux. A n' user/role est considéré comme autorisé que si les balises de la ressource et du principal correspondent. Pour plus d’informations, consultez les ressources suivantes :
+ [Sécurisation des balises de ressources utilisées pour l'autorisation à l'aide d'une politique de contrôle des services dans AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Empêcher la modification des balises, sauf par des personnes autorisées](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029 : Empêcher les utilisateurs de supprimer les journaux de flux Amazon VPC
Empêchez la suppression des journaux de flux Amazon VPC.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030 : Empêcher le partage du sous-réseau VPC avec un compte autre qu'un compte réseau
Empêchez le partage de sous-réseaux Amazon VPC avec des comptes autres que le compte réseau.
**Note**
{{NETWORK\_ACCOUNT\_ID}}Remplacez-le par votre identifiant de compte réseau.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "{{NETWORK_ACCOUNT_ID}}"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031 : Empêcher le lancement d'instances avec des types d'instances interdits
Empêchez le lancement de types d'instances Amazon EC2 interdits.
**Note**
Remplacez {{instance\_type1}} et {{instance\_type2}} par les types d'instances que vous souhaitez restreindre, par exemple {{t2.micro}} ou par une chaîne générique telle que{{\*.nano}}.
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"{{instance_type1}}",
"{{instance_type2}}"
]
}
}
}
```
## SCP-AMS-032 : Empêcher le lancement d'instances sans IMDSv2
Empêchez les instances Amazon EC2 sans. IMDSv2
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033 : Empêcher les modifications d'un rôle spécifique de l'IAM
Empêchez les modifications des rôles IAM spécifiés.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{{{ACCOUNT_ID}}}:role/{{{RESOURCE_NAME}}}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034 : Empêcher AssumeRolePolicy la modification de rôles IAM spécifiques
Empêchez les modifications apportées AssumeRolePolicy aux rôles IAM spécifiés.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{{{ACCOUNT_ID}}}:role/{{{RESOURCE_NAME}}}"
],
"Effect": "Deny"
}
```
## ConfigRule: Balises obligatoires
Vérifiez si les instances EC2 possèdent les balises personnalisées dont vous avez besoin. En outre InfoSec, cela est également utile pour votre gestion des coûts
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: touche d'accès pivotée
Vérifiez que les clés d'accès sont pivotées dans le délai spécifié. Ce délai est généralement fixé à 90 jours conformément aux exigences de conformité habituelles.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: clé d'accès root IAM dans AMS
Vérifiez qu'aucune clé d'accès root n'est présente sur un compte. Pour les comptes AMS Advanced, cela devrait être conforme out-of-the-box.
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: EC2 géré par SSM
Vérifiez que vous EC2s êtes géré par SSM Systems Manager.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: utilisateur IAM non utilisé dans AMS
Vérifiez les informations d'identification de l'utilisateur IAM qui n'ont pas été utilisées pendant une durée spécifiée. Tout comme le contrôle de rotation des clés, ce délai est généralement de 90 jours par défaut, conformément aux exigences de conformité habituelles.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: journalisation du compartiment S3
Vérifiez que la journalisation a été activée pour les compartiments S3 du compte.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: gestion des versions du compartiment S3
Vérifiez que le contrôle de version et la suppression MFA (facultatif) sont activés sur tous les compartiments S3
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: accès public S3
Vérifiez que les paramètres d'accès public (Public ACL, Public Policy, Public Buckets) sont restreints sur l'ensemble du compte
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: Conclusions non archivées GuardDuty
Vérifiez les GuardDuty résultats non archivés dont la durée est supérieure à la durée spécifiée. La durée par défaut est de 30 jours pour les valeurs basses, de 7 jours pour les valeurs moyennes et de 1 jour pour les valeurs élevées.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: suppression de la clé CMK
Vérifiez les clés principales AWS Key Management Service personnalisées (CMKs) dont la suppression est planifiée (c'est-à-dire en attente). Ceci est crucial car l'ignorance de la suppression des CMK peut rendre les données irrécupérables
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: rotation de la CMK
Vérifiez que la rotation automatique est activée pour chaque CMK du compte
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```