2023 年 1 月～12 月

• 新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 3)

• AWS Control Tower ランディングゾーンバージョン 3.3

• 新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 2)

• AWS Control Tower がデジタル主権を支援するコントロールを発表

• AWS Control Tower がランディングゾーン API をサポート

• AWS Control Tower が、有効になっているコントロールのタグ付けをサポート

• AWS Control Tower がアジアパシフィック (メルボルン) リージョンで利用可能に

• 新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 1)

• 新しいコントロール API が利用可能に

• AWS Control Tower が追加のコントロールをリリース

• 新しいドリフトタイプの報告: 信頼できるアクセスの無効化

• 4 つの追加 AWS リージョン

• AWS Control Tower がテルアビブリージョンで利用可能に

• AWS Control Tower が 28 個の新しいプロアクティブコントロールをリリース

• AWS Control Tower で 2 つのコントロールが廃止されます

• AWS Control Tower ランディングゾーンバージョン 3.2

• AWS Control Tower は ID に基づいてアカウントを処理します

• AWS Control Tower コントロールライブラリで使用できるその他の Security Hub 検出コントロール

• AWS Control Tower は、コントロールメタデータテーブルを公開します

• Account Factory のカスタマイズに対する Terraform サポート

• AWS ランディングゾーンで利用可能な IAM アイデンティティセンターの自己管理

• AWS Control Tower は OU の混合ガバナンスに対応

• 追加のプロアクティブコントロールが利用可能に

• Amazon EC2 プロアクティブコントロールの更新

• 7 つの追加 AWS リージョン が利用可能

• Account Factory for Terraform (AFT) アカウントのカスタマイズリクエストの追跡

• AWS Control Tower ランディングゾーンバージョン 3.1

• プロアクティブコントロールの一般公開

ランディングゾーンのリージョン拒否コントロールの更新

• discovery-marketplace: を削除しました。このアクションは aws-marketplace:* 除外の対象となります。

• 「quicksight:DescribeAccountSubscription」を追加

新しいプロアクティブコントロール

• CT.APIGATEWAY.PR.6: Amazon API Gateway REST ドメインでは TLS プロトコルの最小バージョン TLSv1.2 を指定するセキュリティポリシーを使用する必要があります

• CT.APPSYNC.PR.2: AWS AppSync GraphQL API をプライベート可視性で設定する必要があります

• CT.APPSYNC.PR.3: AWS AppSync GraphQL API が API キーで認証されていないことを要求する

• CT.APPSYNC.PR.4: AWS AppSync GraphQL API キャッシュで転送中の暗号化を有効にする必要があります。

• CT.APPSYNC.PR.5: AWS AppSync GraphQL API キャッシュで保管時の暗号化を有効にする必要があります。

• CT.AUTOSCALING.PR.9: Amazon EC2 Auto Scaling 起動設定を使用して設定した Amazon EBS ボリュームでは、保管中のデータを暗号化する必要があります

• CT.AUTOSCALING.PR.10: 起動テンプレートを上書きするときに、Amazon EC2 Auto Scaling グループが AWS Nitro インスタンスタイプのみを使用するよう要求する

• CT.AUTOSCALING.PR.11: 起動テンプレートを上書きするときに、インスタンス間のネットワークトラフィックの暗号化をサポートする AWS Nitro インスタンスタイプのみを Amazon EC2 Auto Scaling グループに追加する必要があります

• CT.DAX.PR.3: DynamoDB Accelerator クラスターでは Transport Layer Security (TLS) を使用して転送中のデータを暗号化する必要があります

• CT.DMS.PR.2: AWS Database Migration Service (DMS) エンドポイントがソースエンドポイントとターゲットエンドポイントの接続を暗号化する必要がある

• CT.EC2.PR.15: Amazon EC2 インスタンスは、AWS::EC2::LaunchTemplate リソースタイプから作成する場合、 AWS Nitro インスタンスタイプを使用する必要があります

• CT.EC2.PR.16: Amazon EC2 インスタンスは、AWS::EC2::Instance リソースタイプを使用して作成した場合、 AWS Nitro インスタンスタイプを使用する必要があります

• CT.EC2.PR.17: Amazon EC2 専有ホストでは AWS Nitro インスタンスタイプを使用する必要があります

• CT.EC2.PR.18: Amazon EC2 フリートが AWS Nitro インスタンスタイプの起動テンプレートのみを上書きするように要求する

• CT.EC2.PR.19: Amazon EC2 インスタンスは、AWS::EC2::Instance リソースタイプを使用して作成した場合、インスタンス間の転送中の暗号化をサポートする Nitro インスタンスタイプを使用する必要があります

• CT.EC2.PR.20: Amazon EC2 フリートは、インスタンス間の転送中の暗号化をサポートする AWS Nitro インスタンスタイプを持つ起動テンプレートのみを上書きする必要があります

• CT.ELASTICACHE.PR.8: 新しい Redis バージョンの Amazon ElastiCache レプリケーショングループでは RBAC 認証をアクティブにする必要があります

• CT.MQ.PR.1: Amazon MQ ActiveMQ ブローカーでは、高可用性を確保するためにアクティブ/スタンバイデプロイモードを使用する必要があります

• CT.MQ.PR.2: Amazon MQ Rabbit MQ ブローカーでは、高可用性を確保するためにマルチ AZ クラスターモードを使用する必要があります

• CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、クラスターブローカーノード間の転送中の暗号化を適用する必要があります

• CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、PublicAccess を無効に設定する必要があります

• CT.NETWORK-FIREWALL.PR.5: Network AWS Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります

• CT.RDS.PR.26: Amazon RDS DB Proxy は Transport Layer Security (TLS) 接続を要求する必要があります

• CT.RDS.PR.27: Amazon RDS DB クラスターパラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります

• CT.RDS.PR.28: Amazon RDS DB パラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります

• CT.RDS.PR.29: Amazon RDS クラスターは、「PubliclyAccessible」プロパティを使用してパブリックでアクセスできないように設定する必要があります

• CT.RDS.PR.30: Amazon RDS データベースインスタンスでは、サポートしているエンジンタイプのために指定した KMS キーを使用するように保管中の暗号化を設定する必要があります

• CT.S3.PR.12: Amazon S3 のアクセスポイントでは、パブリックアクセスブロック (BPA) 設定のすべてのオプションを true に設定する必要があります

新しい予防コントロール

• CT.APPSYNC.PV.1 AWS AppSync GraphQL API がプライベート可視性で設定されていることを要求する

• CT.EC2.PV.1 Amazon EBS スナップショットは、暗号化した EC2 ボリュームから作成する必要があります

• CT.EC2.PV.2 アタッチした Amazon EBS ボリュームは、保管中のデータを暗号化するように設定する必要があります

• CT.EC2.PV.3 Amazon EBS スナップショットはパブリックに復元できないようにする必要があります

• CT.EC2.PV.4 Amazon EBS direct API が呼び出されないようにする必要があります

• CT.EC2.PV.5 Amazon EC2 VM のインポートとエクスポートの使用を禁止します

• CT.EC2.PV.6 廃止された Amazon EC2 RequestSpotFleet および RequestSpotInstances API アクションの使用を禁止します

• CT.KMS.PV.1 AWS KMS キーポリシーに、 AWS サービスへの AWS KMS 許可の作成を制限するステートメントがあることを要求する

• CT.KMS.PV.2 暗号化に使用される RSA キーマテリアルを持つ AWS KMS 非対称キーのキー長が 2048 ビットでない必要があります

• CT.KMS.PV.3 バイパスポリシーのロックアウト安全チェックを有効にして AWS KMS キーを設定する必要があります。

• CT.KMS.PV.4 AWS KMS カスタマーマネージドキー (CMK) は、 AWS CloudHSM から発信されるキーマテリアルで設定する必要があります

• CT.KMS.PV.5 AWS KMS カスタマーマネージドキー (CMK) がインポートされたキーマテリアルで設定されている必要があります

• CT.KMS.PV.6 AWS KMS カスタマーマネージドキー (CMK) は、外部キーストア (XKS) から発信されるキーマテリアルで設定する必要があります。

• CT.LAMBDA.PV.1 AWS IAM ベースの認証を使用する関数 AWS Lambda URL を要求する

• CT.LAMBDA.PV.2 AWS Lambda 関数 URL は、 内のプリンシパルのみがアクセスできるように設定する必要があります。 AWS アカウント

• CT.MULTISERVICE.PV.1: 組織単位 AWS リージョン にリクエストされた AWS に基づいて へのアクセスを拒否する

新しい検出コントロール

• SH.ACM.2: ACM が管理する RSA 証明書では、少なくとも 2,048 ビットのキー長を使用する必要があります

• SH.AppSync.5： AWS AppSync GraphQL APIsは API キーで認証しないでください

• SH.CloudTrail.6: CloudTrail ログの保存に使用する S3 バケットは、パブリックアクセス可能でないことを確認します

• SH.DMS.9: DMS エンドポイントでは SSL を使用する必要があります

• SH.DocumentDB.3: Amazon DocumentDB 手動クラスタースナップショットは公開できません

• SH.DynamoDB.3: DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります

• SH.EC2.23: EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け入れないようにする必要があります

• SH.EKS.1: EKS クラスターエンドポイントはパブリックアクセス可能にしない必要があります

• SH.ElastiCache.3: ElastiCache レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります

• SH.ElastiCache.4: ElastiCache レプリケーショングループでは、保管中の暗号化を有効にする必要があります

• SH.ElastiCache.5: ElastiCache レプリケーショングループでは、転送中の暗号化を有効にする必要があります

• SH.ElastiCache.6: 以前の Redis バージョンの ElastiCache レプリケーショングループでは、Redis AUTH を有効にする必要があります

• SH.EventBridge.3: EventBridge カスタムイベントバスには、リソースベースのポリシーをアタッチする必要があります

• SH.KMS.4： AWS KMS key ローテーションを有効にする必要があります

• SH.Lambda.3: Lambda 関数は VPC 内に存在する必要があります

• SH.MQ.5: ActiveMQ ブローカーは、アクティブ/スタンバイデプロイモードを使用する必要があります

• SH.MQ.6: RabbitMQ ブローカーは、クラスターデプロイモードを使用する必要があります。

• SH.MSK.1: MSK クラスターは、ブローカーノード間で転送中に暗号化する必要があります

• SH.RDS.12: IAM 認証は RDS クラスター用に設定する必要があります

• SH.RDS.15: RDS DB クラスターは、複数のアベイラビリティーゾーンで設定する必要があります

• SH.S3.17: S3 バケットは、 AWS KMS キーを使用して保管中に暗号化する必要があります

• 更新された EnableControl API では、設定可能なコントロールを設定できます。

• 更新された GetEnabledControl API では、有効なコントロールに設定されたパラメータが表示されます。

• 新しい UpdateEnabledControl API では、有効なコントロールのパラメータを変更できます。

• CreateLandingZone — この API コールは、ランディングゾーンバージョンとマニフェストファイルを使用してランディングゾーンを作成します。

• GetLandingZoneOperation — この API コールは、指定したランディングゾーンオペレーションのステータスを返します。

• GetLandingZone — この API コールは、バージョン、マニフェストファイル、ステータスなど、指定したランディングゾーンに関する詳細を返します。

• UpdateLandingZone — この API コールは、ランディングゾーンバージョンまたはマニフェストファイルを更新します。

• ListLandingZone — この API コールは、管理アカウントのランディングゾーン設定のランディングゾーン識別子 (ARN) を 1 つ返します。

• ResetLandingZone — この API コールは、ランディングゾーンを最新の更新で指定されたパラメータにリセットします。これにより、ドリフトを修復できます。ランディングゾーンが更新されていない場合、このコールはランディングゾーンを作成時に指定されたパラメータにリセットします。

• DeleteLandingZone — この API コールはランディングゾーンを廃止します。

• TagResource – この API コールは、AWS Control Tower で有効になっているコントロールにタグを追加します。

• UntagResource – この API コールは、AWS Control Tower で有効になっているコントロールからタグを削除します。

• ListTagsForResource – この API コールは、AWS Control Tower で有効になっているコントロールのタグを返します。

• GetEnabledControl – API コールは、有効になっているコントロールに関する詳細を提供します。

• AWS Control Tower コントロールライブラリから、有効にしたすべてのコントロールのリストを取得します。

• 有効になっているコントロールについては、コントロールがサポートされているリージョン、コントロールの識別子 (ARN)、コントロールのドリフトステータス、およびコントロールのステータス概要に関する情報を取得できます。

新しいプロアクティブコントロール

• [CT.ATHENA.PR.1] Amazon Athena ワークグループは Athena クエリ結果を保管中に暗号化する必要があります

• [CT.ATHENA.PR.2] Amazon Athena ワークグループは AWS Key Management Service (KMS) キーを使用して Athena クエリ結果を保管中に暗号化する必要があります

• 〔CT.CLOUDTRAIL.PR.4〕 AWS CloudTrail Lake イベントデータストアで AWS KMS キーを使用した保管時の暗号化を有効にする必要があります

• [CT.DAX.PR.2] Amazon DAX クラスターは少なくとも 3 つのアベイラビリティーゾーンにノードをデプロイする必要があります

• [CT.EC2.PR.14] 保管中のデータを暗号化するには、Amazon EC2 起動テンプレートを使用して Amazon EBS ボリュームを設定する必要があります

• 〔CT.EKS.PR.2〕 Amazon EKS クラスターは、 AWS Key Management Service (KMS) キーを使用したシークレット暗号化で設定する必要があります

• [CT.ELASTICLOADBALANCING.PR.14] Network Load Balancer ではクロスゾーン負荷分散を有効にする必要があります

• [CT.ELASTICLOADBALANCING.PR.15] Elastic Load Balancing v2 ターゲットグループはクロスゾーン負荷分散を明示的に無効にしないようにする必要があります

• [CT.EMR.PR.1] Amazon EMR (EMR) のセキュリティ設定は、Amazon S3 に保管中のデータを暗号化するように構成する必要があります

• 〔CT.EMR.PR.2〕 Amazon EMR (EMR) セキュリティ設定は、Amazon S3 の保管中のデータを AWS KMS キーで暗号化するように設定する必要があります

• 〔CT.EMR.PR.3〕 Amazon EMR (EMR) セキュリティ設定は、 AWS KMS キーを使用した EBS ボリュームのローカルディスク暗号化で設定する必要があります

• [CT.EMR.PR.4] 転送中のデータを暗号化するように Amazon EMR (EMR) のセキュリティ設定を構成する必要があります

• [CT.GLUE.PR.1] AWS Glue ジョブには関連するセキュリティ設定が必要です

• [CT.GLUE.PR.2] AWS Glue セキュリティ設定は、 AWS KMS キーを使用して Amazon S3 ターゲット内のデータを暗号化する必要があります

• 〔CT.KMS.PR.2〕 暗号化に使用される RSA キーマテリアルを持つ AWS KMS 非対称キーの長さが 2048 ビットを超える必要があります

• 〔CT.KMS.PR.3〕 AWS KMS キーポリシーには、 AWS サービスへの AWS KMS 許可の作成を制限するステートメントが必要です

• 〔CT.LAMBDA.PR.4〕 AWS 組織または特定の AWS アカウントへのアクセス許可を付与するには、 AWS Lambda レイヤーのアクセス許可が必要です

• 〔CT.LAMBDA.PR.5〕 IAM ベースの認証を使用するには AWS Lambda 関数 URL AWS が必要です

• 〔CT.LAMBDA.PR.6〕 特定のオリジンへのアクセスを制限するには、 AWS Lambda 関数 URL CORS ポリシーが必要です

• [CT.NEPTUNE.PR.4] Amazon Neptune DB クラスターは、監査ログ用に Amazon CloudWatch ログのエクスポートを有効にする必要があります

• [CT.NEPTUNE.PR.5] Amazon Neptune DB クラスターは、バックアップ保持期間を 7 日間以上に設定する必要があります

• [CT.REDSHIFT.PR.9] Amazon Redshift クラスターのパラメータグループは、転送中のデータの暗号化に Secure Sockets Layer (SSL) を使用するように設定する必要があります

• [SH.Athena.1] Athena ワークグループは、保管中に暗号化する必要があります

• [SH.Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

• [SH.Neptune.2] Neptune DB クラスターは、監査ログを CloudWatch Logs に発行する必要があります

• [SH.Neptune.3] Neptune DB クラスタースナップショットをパブリックにすることはできません

• [SH.Neptune.4] Neptune DB クラスターでは、削除保護を有効にする必要があります

• [SH.Neptune.5] Neptune DB クラスターでは、自動バックアップを有効にする必要があります

• [SH.Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

• [SH.Neptune.7] Neptune DB クラスターでは、IAM データベース認証を有効にする必要があります

• [SH.Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

• [SH.RDS.27] RDS DB クラスターは保管中に暗号化する必要があります

新しいコントロールの詳細なリストは次のとおりです。

• [CT.APPSYNC.PR.1]  AWS AppSync GraphQL API でログ記録を有効にする必要がある

• [CT.CLOUDWATCH.PR.1] Amazon CloudWatch アラームでアラーム状態に応じたアクションを設定する必要がある

• [CT.CLOUDWATCH.PR.2] Amazon CloudWatch ロググループを少なくとも 1 年間保持する必要がある

• [CT.CLOUDWATCH.PR.3] Amazon CloudWatch ロググループを KMS AWS キーで保管時に暗号化する必要があります

• [CT.CLOUDWATCH.PR.4] Amazon CloudWatch アラームアクションをアクティブにする必要がある

• [CT.DOCUMENTDB.PR.1] Amazon DocumentDB クラスターを保管中に暗号化する必要がある

• [CT.DOCUMENTDB.PR.2] Amazon DocumentDB クラスターで自動バックアップを有効にする必要がある

• [CT.DYNAMODB.PR.2] AWS KMS キーを使用して Amazon DynamoDB テーブルを保管時に暗号化する必要があります

• [CT.EC2.PR.13] Amazon EC2 インスタンスで詳細モニタリングを有効にする必要がある

• [CT.EKS.PR.1] クラスターの Kubernetes API サーバーエンドポイントへのパブリックアクセスを無効にして Amazon EKS クラスターを設定する必要がある

• [CT.ELASTICACHE.PR.1] Amazon ElastiCache for Redis クラスターで自動バックアップをアクティブにする必要がある

• [CT.ELASTICACHE.PR.2] Amazon ElastiCache for Redis クラスターで自動マイナーバージョンアップグレードをアクティブにする必要がある

• [CT.ELASTICACHE.PR.3] Amazon ElastiCache for Redis レプリケーショングループで自動フェイルオーバーを有効にする必要がある

• [CT.ELASTICACHE.PR.4] Amazon ElastiCache レプリケーショングループで保管中の暗号化をアクティブにする必要がある

• [CT.ELASTICACHE.PR.5]  Amazon ElastiCache for Redis レプリケーショングループで転送中の暗号化をアクティブにする必要がある

• [CT.ELASTICACHE.PR.6] Amazon ElastiCache キャッシュクラスターでカスタムサブネットグループを使用する必要がある

• [CT.ELASTICACHE.PR.7] 以前の Redis バージョンの Amazon ElastiCache レプリケーショングループに Redis AUTH 認証が必要である

• [CT.ELASTICBEANSTALK.PR.3]  AWS  Elastic Beanstalk 環境にログ記録設定が必要である

• [CT.LAMBDA.PR.3] カスタマーマネージド Amazon 仮想プライベートクラウド (VPC) に  AWS Lambda  関数を含める必要がある

• [CT.NEPTUNE.PR.1] Amazon Neptune DB クラスターには AWS Identity and Access Management (IAM) データベース認証が必要です

• [CT.NEPTUNE.PR.2] Amazon Neptune DB クラスターで削除保護を有効にする必要がある

• [CT.NEPTUNE.PR.3] Amazon Neptune DB クラスターでストレージ暗号化を有効にする必要がある

• [CT.REDSHIFT.PR.8] Amazon Redshift クラスターを暗号化する必要がある

• [CT.S3.PR.9] Amazon S3 バケットで S3 オブジェクトロックを有効にする必要がある

• [CT.S3.PR.10] Amazon S3 バケットでは、 AWS KMS キーを使用してサーバー側の暗号化を設定する必要があります

• [CT.S3.PR.11] Amazon S3 バケットでバージョニングを有効にする必要がある

• [CT.STEPFUNCTIONS.PR.1]  AWS Step Functions  ステートマシンでログ記録をアクティブにする必要がある

• [CT.STEPFUNCTIONS.PR.2] AWS Step Functions ステートマシンで AWS X-Ray トレースを有効にする必要があります

• [SH.S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります

• [CT.S3.PR.7] Amazon S3 バケットにサーバー側の暗号化が設定されている必要があります

追加されたグローバルサービスと API

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail （cloudtrail:LookupEvents) は、メンバーアカウントのグローバルイベントを可視化します。

• AWS 一括請求 (consolidatedbilling:*）

• AWS マネジメントコンソールモバイルアプリケーション (consoleapp:*）

• AWS 無料利用枠 (freetier:*）

• AWS Invoicing (invoicing:*)

• AWS IQ (iq:*）

• AWS ユーザー通知 (notifications:*）

• AWS ユーザー通知連絡先 (notifications-contacts:*）

• Amazon Payments (payments:*)

• AWS 税設定 (tax:*）

削除されたグローバルサービスと API

• 有効なアクションではないため、s3:GetAccountPublic は削除されました。

• 有効なアクションではないため、s3:PutAccountPublic は削除されました。

• [SH.Account.1] のセキュリティ連絡先情報は に提供する必要があります AWS アカウント

• [SH.APIGateway.8] API Gateway ルートは承認タイプを指定する必要があります

• [SH.APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

• [SH.CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

• [SH.EC2.25] EC2 起動テンプレートでパブリック IP をネットワークインターフェイスに割り当てないでください

• [SH.ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

• [SH.Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

• [SH.SageMaker.2] SageMaker AI ノートブックインスタンスはカスタム VPC で起動する必要があります

• [SH.SageMaker.3] ユーザーには SageMaker AI ノートブックインスタンスへのルートアクセスを許可しないでください

• [SH.WAF.10] WAFV2 ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

• デフォルトを受け入れて、AWS Control Tower に AWS IAM Identity Center のセットアップと管理を任せることができます。

• 特定のビジネス要件を反映するために、IAM Identity Center AWS を自己管理することを選択できます。

• 必要な場合は、サードパーティの ID プロバイダーを IAM Identity Center 経由で接続して、自分で管理することもできます。規制環境で特定のプロバイダーを使用する必要がある場合、または IAM Identity Center AWS リージョン が利用できない で運用している場合は、ID AWS プロバイダーのオプションを使用する必要があります。

Amazon OpenSearch Service

• [CT.OPENSEARCH.PR.1] 保管中のデータを暗号化するには Elasticsearch ドメインが必要です

• [CT.OPENSEARCH.PR.2] ユーザーが指定した Amazon VPC に Elasticsearch ドメインが作成されている必要があります

• [CT.OPENSEARCH.PR.3] ノード間のデータを暗号化するには Elasticsearch ドメインが必要です

• [CT.OPENSEARCH.PR.4] エラーログを Amazon CloudWatch Logs に送信するには Elasticsearch ドメインが必要です

• [CT.OPENSEARCH.PR.5] 監査ログを Amazon CloudWatch Logs に送信するには Elasticsearch ドメインが必要です

• [CT.OPENSEARCH.PR.6] Elasticsearch ドメインにはゾーン認識および少なくとも 3 つのデータノードが必要です

• [CT.OPENSEARCH.PR.7] Elasticsearch ドメインには少なくとも 3 つの専用マスターノードが必要です

• [CT.OPENSEARCH.PR.8] Elasticsearch Service ドメインで TLSv1.2 を使用する必要がある

• [CT.OPENSEARCH.PR.9] 保管中のデータを暗号化するには Amazon OpenSearch Service ドメインが必要です

• [CT.OPENSEARCH.PR.10] ユーザー指定の Amazon VPC に Amazon OpenSearch Service ドメインが作成されている必要があります

• [CT.OPENSEARCH.PR.11] ノード間で送信されるデータを暗号化するには Amazon OpenSearch Service ドメインが必要です

• [CT.OPENSEARCH.PR.12] エラーログを Amazon CloudWatch Logs に送信するには Amazon OpenSearch Service ドメインが必要です

• [CT.OPENSEARCH.PR.13] 監査ログを Amazon CloudWatch Logs に送信するには Amazon OpenSearch Service ドメインが必要です

• [CT.OPENSEARCH.PR.14] Amazon OpenSearch Service ドメインにはゾーン認識および少なくとも 3 つのデータノードが必要です

• [CT.OPENSEARCH.PR.15] きめ細かなアクセスコントロールを使用するには Amazon OpenSearch Service ドメインが必要です

• [CT.OPENSEARCH.PR.16] Amazon OpenSearch Service ドメインで TLSv1.2 を使用する必要がある

アマゾン EC2 Auto Scaling

• [CT.AUTOSCALING.PR.1] Amazon EC2 Auto Scaling グループには複数のアベイラビリティーゾーンが含まれている必要があります

• [CT.AUTOSCALING.PR.2] IMDSv2 用の Amazon EC2 インスタンスを設定するには Amazon EC2 Auto Scaling グループの起動設定が必要です

• [CT.AUTOSCALING.PR.3] Amazon EC2 Auto Scaling の起動設定でメタデータ応答ホップ制限を 1 に設定する必要があります

• [CT.AUTOSCALING.PR.4] ELB ヘルスチェックを有効にするには、Amazon Elastic Load Balancing (ELB) に関連付けられた Amazon EC2 Auto Scaling グループが必要です

• [CT.AUTOSCALING.PR.5] Amazon EC2 Auto Scaling グループの起動設定にパブリック IP アドレスを持つ Amazon EC2 インスタンスが含まれていない必要があります

• [CT.AUTOSCALING.PR.6] Amazon EC2 Auto Scaling グループでは複数のインスタンスタイプを使用する必要があります

• [CT.AUTOSCALING.PR.8] Amazon EC2 Auto Scaling グループに EC2 起動テンプレートを設定する必要があります

Amazon SageMaker AI

• [CT.SAGEMAKER.PR.1] 直接インターネットアクセスを防ぐために Amazon SageMaker AI ノートブックインスタンスが必要です

• [CT.SAGEMAKER.PR.2] Amazon SageMaker AI ノートブックインスタンスをカスタム Amazon VPC 内にデプロイする必要があります

• [CT.SAGEMAKER.PR.3] Amazon SageMaker AI ノートブックインスタンスにはルートアクセスが許可されないようにする必要があります

Amazon API Gateway

• [CT.APIGATEWAY.PR.5] Amazon API Gateway V2 Websocket および HTTP ルートで権限付与タイプが指定されている必要があります

Amazon Relational Database Service (RDS)

• [CT.RDS.PR.25] Amazon RDS データベースクラスターにロギングが設定されている必要があります

• Amazon CloudWatch Logs ユーザーガイドの「Amazon CloudWatch Logs とは」

• AWS Step Functions デベロッパーガイドの「 AWS Step Functionsとは」

• 今回のリリースでは、AWS Control Tower はアクセスログバケット (アクセスログが Log Archive アカウントに保存される Amazon S3 バケット) の不要なアクセスログを無効化し、S3 バケットのサーバーアクセスログを引き続き有効にします。このリリースには、 サポート プランや などのグローバルサービスに追加のアクションを許可するリージョン拒否コントロールの更新も含まれています AWS Artifact。

• AWS Control Tower アクセスログバケットのサーバーアクセスログを無効にすると、Security Hub は Log Archive アカウントのアクセスログバケットの結果を作成します。これは、[S3.9] S3 バケットのサーバーアクセスログを有効にする必要があるという AWS Security Hub ルールによるものです。Security Hub に従い、このルールの Security Hub の説明に記載されているように、この特定の結果を非表示にすることをお勧めします。追加情報については、「非表示の結果に関する情報」を参照してください。

• Log Archive アカウントの (通常の) ログバケットのアクセスログは、バージョン 3.1 でも変更されていません。ベストプラクティスに従い、そのバケットのアクセスイベントは、アクセスログバケットにログエントリとして記録されます。アクセスログの詳細については、Amazon S3 ドキュメントの「サーバーアクセスログを使用したリクエストのログ記録」を参照してください。

• リージョン拒否コントロールを更新しました。この更新により、より多くのグローバルサービスによるアクションが可能になります。この SCP の詳細については、「リクエストされた AWS に基づいて へのアクセスを拒否する AWS リージョン」および「データレジデンシー保護を強化するコントロール」を参照してください。

  追加されたグローバルサービス:

  • AWS Account Management (account:*)

  • AWS アクティブ化 (activate:*）

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail (lightsail:Get*)

  • AWS Resource Explorer (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint、s3:GetBucketPolicyStatus、s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*）

  • IAM Identity Center (sso:*)

  • AWS Support App (supportapp:*)

  • サポート プラン (supportplans:*）

  • AWS 持続可能性 (sustainability:*）

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Vendor Insights (vendor-insights:ListEntitledSecurityProfiles）