2023 年 1 月～12 月

• 新しい への移行 AWS Service Catalog 外部製品タイプ (フェーズ 3)

• AWS Control Tower ランディングゾーンバージョン 3.3

• 新しい への移行 AWS Service Catalog 外部製品タイプ (フェーズ 2)

• AWS Control Tower がデジタル主権を支援するコントロールを発表

• AWS Control Tower がランディングゾーンをサポート APIs

• AWS Control Tower が有効なコントロールのタグ付けをサポート

• AWS Control Tower がアジアパシフィック (メルボルン) リージョンで利用可能に

• 新しい への移行 AWS Service Catalog 外部製品タイプ (フェーズ 1)

• 新しいコントロールAPIが利用可能に

• AWS Control Tower がコントロールを追加

• 新しいドリフトタイプの報告: 信頼できるアクセスの無効化

• 4 つの追加 AWS リージョン

• AWS Control Tower がテルアビブリージョンで利用可能に

• AWS Control Tower が 28 の新しいプロアクティブコントロールを起動

• AWS Control Tower は 2 つのコントロールを廃止

• AWS Control Tower ランディングゾーンバージョン 3.2

• AWS Control Tower が ID に基づいてアカウントを処理する

• Control Tower コントロールライブラリで利用可能な追加の Security Hub AWS 検出コントロール

• AWS Control Tower がコントロールメタデータテーブルを発行する

• Account Factory のカスタマイズに対する Terraform サポート

• AWS IAM ランディングゾーンで Identity Center の自己管理が利用可能に

• AWS Control Tower が の混合ガバナンスに対応 OUs

• 追加のプロアクティブコントロールが利用可能に

• Amazon EC2プロアクティブコントロールの更新

• 7 つの追加 AWS リージョン 使用可能

• Account Factory for Terraform (AFT) アカウントカスタマイズリクエストのトレース

• AWS Control Tower ランディングゾーンバージョン 3.1

• プロアクティブコントロールの一般公開

ランディングゾーンのリージョン拒否コントロールの更新

• discovery-marketplace: を削除しました。このアクションは aws-marketplace:* 除外の対象となります。

• 「quicksight:DescribeAccountSubscription」を追加

新しいプロアクティブコントロール

• CT.APIGATEWAY.PR.6: Amazon API Gateway RESTドメインは、.2 の最小TLSプロトコルバージョンを指定するセキュリティポリシーを使用する必要がありますTLSv1。

• CT.APPSYNC.PR.2: が必要です AWS AppSync プライベート可視性で設定APIする GraphQL

• CT.APPSYNC.PR.3: が必要です AWS AppSync GraphQL APIがAPIキーで認証されていない

• CT.APPSYNC.PR.4: が必要です AWS AppSync 転送中の暗号化を有効にする GraphQL APIキャッシュ。

• CT.APPSYNC.PR.5: が必要です AWS AppSync 保管時の暗号化を有効にする GraphQL APIキャッシュ。

• CT.AUTOSCALING.PR.9: 保管中のデータを暗号化するには、Amazon EC2 Auto Scaling 起動設定を使用して Amazon EBSボリュームを設定する必要があります

• CT.AUTOSCALING.PR.10: Amazon EC2 Auto Scaling グループに のみの使用を要求する AWS 起動テンプレートを上書きするときの Nitro インスタンスタイプ

• CT.AUTOSCALING.PR.11: のみが必要 AWS 起動テンプレートを上書きするときに Amazon EC2 Auto Scaling グループに追加されるインスタンス間のネットワークトラフィックの暗号化をサポートする Nitro インスタンスタイプ

• CT.DAX.PR.3: DynamoDB Accelerator クラスターが Transport Layer Security を使用して転送中のデータを暗号化する必要がある (TLS）

• CT.DMS.PR.2: が必要です AWS ソースエンドポイントとターゲットエンドポイントの接続を暗号化する Database Migration Service (DMS) エンドポイント

• CT.EC2.PR.15: Amazon EC2インスタンスで を使用する必要がある AWS AWS::EC2::LaunchTemplate リソースタイプから を作成するときの Nitro インスタンスタイプ

• CT.EC2.PR.16: Amazon EC2インスタンスで を使用する必要がある AWS AWS::EC2::Instance リソースタイプを使用して作成された場合の Nitro インスタンスタイプ

• CT.EC2.PR.17: Amazon EC2専有ホストは AWS Nitro インスタンスタイプを使用する必要があります

• CT.EC2.PR.18: Amazon EC2フリートは、これらの起動テンプレートのみを で上書きする必要があります AWS Nitro インスタンスタイプ

• CT.EC2.PR.19: AWS::EC2::InstanceリソースタイプEC2を使用して作成された場合、インスタンス間の転送中の暗号化をサポートする nitro インスタンスタイプを Amazon インスタンスで使用する必要があります

• CT.EC2.PR.20: Amazon EC2フリートは、これらの起動テンプレートのみを で上書きする必要があります AWS インスタンス間の転送中の暗号化をサポートする Nitro インスタンスタイプ

• CT.ELASTICACHE.PR.8: 以降の Redis バージョンの Amazon ElastiCache レプリケーショングループでRBAC認証を有効にする必要があります

• CT.MQ.PR.1: Amazon MQ ActiveMQ ブローカーでは、高可用性を確保するためにアクティブ/スタンバイデプロイモードを使用する必要があります

• CT.MQ.PR.2: Amazon MQ Rabbit MQ ブローカーでは、高可用性を確保するためにマルチ AZ クラスターモードを使用する必要があります

• CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka (MSK) クラスターがクラスターブローカーノード間で転送中の暗号化を強制する必要がある

• CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka (MSK) クラスターを PublicAccess 無効に設定する必要があります

• CT.NETWORK-FIREWALL.PR.5: が必要です AWS 複数のアベイラビリティーゾーンにデプロイする Network Firewall ファイアウォール

• CT.RDS.PR.26: Amazon RDS DB Proxy で Transport Layer Security (TLS) 接続を要求する

• CT.RDS.PR.27: Amazon RDS DB クラスターパラメータグループで、サポートされているエンジンタイプに Transport Layer Security (TLS) 接続を要求する必要があります

• CT.RDS.PR.28: Amazon RDS DB パラメータグループで、サポートされているエンジンタイプに Transport Layer Security (TLS) 接続を要求する必要があります

• CT.RDS.PR.29: Amazon RDSクラスターが「」プロパティを使用してパブリックアクセス可能に設定されていないことPubliclyAccessibleを要求する

• CT.RDS.PR.30: Amazon RDS データベースインスタンスには、サポートされているエンジンタイプに指定したKMSキーを使用するように設定された保管時の暗号化が必要です

• CT.S3.PR.12: Amazon S3 アクセスポイントには、すべてのオプションを true に設定してパブリックアクセスブロック (BPA) 設定が必要です

新しい予防コントロール

• CT.APPSYNC.PV.1 に を要求する AWS AppSync GraphQL APIはプライベート可視性で設定されています

• CT.EC2.PV.1 Amazon EBSスナップショットを暗号化されたEC2ボリュームから作成する必要があります。

• CT.EC2.PV.2 アタッチされた Amazon EBSボリュームが保管中のデータを暗号化するように設定されている必要があります

• CT.EC2.PV.3 Amazon EBSスナップショットをパブリックに復元できないように要求する

• CT.EC2.PV.4 Amazon EBS direct が呼び出されないように要求APIsする

• CT.EC2.PV.5 Amazon EC2 VM のインポートとエクスポートの使用を禁止する

• CT.EC2.PV.6 非推奨の Amazon EC2 RequestSpotFleet および RequestSpotInstances API アクションの使用を禁止する

• CT.KMS.PV.1 を要求する AWS KMS の作成を制限するステートメントを持つ キーポリシー AWS KMS への 許可 AWS サービス

• CT.KMS.PV.2 に を要求する AWS KMS 暗号化に使用されるキーマテリアルを持つ非対称RSAキーのキー長は 2048 ビットではありません

• CT.KMS.PV.3 に を要求する AWS KMS キーはバイパスポリシーのロックアウト安全チェックが有効に設定されています

• CT.KMS.PV.4 に を要求する AWS KMS カスタマーマネージドキー (CMK) は、 を起点とするキーマテリアルで設定されます。 AWS クラウドHSM

• CT.KMS.PV.5 に を要求する AWS KMS カスタマーマネージドキー (CMK) がインポートされたキーマテリアルで設定されている

• CT.KMS.PV.6 に を要求する AWS KMS カスタマーマネージドキー (CMK) は、外部キーストア (XKS) から発信されるキーマテリアルで設定されます。

• CT.LAMBDA.PV.1 を要求する AWS Lambda 使用する URL 関数 AWS IAMベースの認証

• CT.LAMBDA.PV.2 を要求する AWS Lambda 関数はURL、 内のプリンシパルによってのみアクセスするように設定されます。 AWS アカウント

• CTMULTISERVICEPV.1: へのアクセスを拒否する AWS リクエストされた に基づく AWS リージョン 組織単位の

新しい検出コントロール

• SH.ACM.2: によって管理されるRSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります

• SH.AppSync.5: AWS AppSync GraphQL はAPIキーで認証APIsしないでください

• SH.CloudTrail.6: CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないことを確認します。

• SH.DMS.9: DMSエンドポイントは を使用する必要があります SSL

• SH.DocumentDB.3: Amazon DocumentDB 手動クラスタースナップショットは公開できません

• SH.DynamoDB.3: DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

• SH.EC2.23: EC2 トランジットゲートウェイはVPCアタッチメントリクエストを自動的に受け入れないでください

• SH.EKS.1: EKSクラスターエンドポイントはパブリックにアクセスできないようにする必要があります

• SH.ElastiCache.3： ElastiCache レプリケーショングループでは自動フェイルオーバーが有効になっている必要があります

• SH.ElastiCache.4: ElastiCache レプリケーショングループは encryption-at-rest 有効になっている必要があります

• SH.ElastiCache.5: ElastiCache レプリケーショングループは encryption-in-transit 有効になっている必要があります

• SH.ElastiCache.6：以前の Redis バージョンの ElastiCache レプリケーショングループでは、Redis AUTHを有効にする必要があります

• SH.EventBridge.3： EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

• SH.KMS.4: AWS KMS キーローテーションを有効にする必要があります

• SH.Lambda.3: Lambda 関数は に存在する必要があります VPC

• SH.MQ.5: ActiveMQ ブローカーは、アクティブ/スタンバイデプロイモードを使用する必要があります

• SH.MQ.6: RabbitMQ ブローカーは、クラスターデプロイモードを使用する必要があります。

• SH.MSK.1: MSKクラスターはブローカーノード間で転送中に暗号化する必要があります

• SH.RDS.12: IAM認証はRDSクラスター用に設定する必要があります

• SH.RDS.15: RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

• SH.S3.17: S3 バケットは保管時に で暗号化する必要があります AWS KMS キー

• 更新された EnableControlAPIでは、設定可能なコントロールを設定できます。

• 更新された は、有効なコントロールに設定されているパラメータGetEnabledControlAPIを表示します。

• 新しい UpdateEnabledControlAPIは、有効なコントロールのパラメータを変更できます。

• CreateLandingZone– このAPI呼び出しは、ランディングゾーンのバージョンとマニフェストファイルを使用してランディングゾーンを作成します。

• GetLandingZoneOperation– このAPI呼び出しは、指定されたランディングゾーンオペレーションのステータスを返します。

• GetLandingZone– このAPI呼び出しは、バージョン、マニフェストファイル、ステータスなど、指定されたランディングゾーンに関する詳細を返します。

• UpdateLandingZone– このAPI呼び出しは、ランディングゾーンのバージョンまたはマニフェストファイルを更新します。

• ListLandingZone– このAPI呼び出しは、管理アカウントで設定されたランディングゾーンに対して 1 つのランディングゾーン識別子 (ARN) を返します。

• ResetLandingZone– このAPI呼び出しにより、ランディングゾーンが最新の更新で指定されたパラメータにリセットされ、ドリフトを修復できます。ランディングゾーンが更新されていない場合、この呼び出しによりランディングゾーンが作成時に指定されたパラメータにリセットされます。

• DeleteLandingZone– このAPI呼び出しはランディングゾーンを廃止します。

• TagResource– このAPI呼び出しは、AWSControl Tower で有効になっているコントロールにタグを追加します。

• UntagResource– このAPI呼び出しは、AWSControl Tower で有効になっているコントロールからタグを削除します。

• ListTagsForResource– このAPI呼び出しは、AWSControl Tower で有効になっているコントロールのタグを返します。

• GetEnabledControl— API呼び出しは、有効なコントロールに関する詳細を提供します。

• AWS Control Tower コントロールライブラリから、有効にしたすべてのコントロールのリストを取得します。

• 有効なコントロールについては、コントロールがサポートされているリージョン、コントロールの識別子 (ARN）、コントロールのドリフトステータス、およびコントロールのステータスの概要に関する情報を取得できます。

新しいプロアクティブコントロール

• [CT.ATHENA.PR.1〕 Amazon Athena ワークグループが保管中の Athena クエリ結果を暗号化する必要がある

• [CT.ATHENA.PR.2〕 Amazon Athena ワークグループは、保管中の Athena クエリ結果を で暗号化する必要があります AWS Key Management Service （KMS) キー

• [CT.CLOUDTRAIL.PR.4〕 が必要です AWS CloudTrail Lake イベントデータストアで を使用した保管時の暗号化を有効にする AWS KMS キー

• [CT.DAX.PR.2〕 Amazon DAXクラスターは、ノードを少なくとも 3 つのアベイラビリティーゾーンにデプロイする必要があります

• [CT.EC2.PR.14〕 保管中のデータを暗号化するには、Amazon EC2起動テンプレートを使用して Amazon EBSボリュームを設定する必要があります

• [CT.EKS.PR.2〕 Amazon EKSクラスターは、 を使用してシークレット暗号化で設定する必要があります AWS Key Management Service (KMS) キー

• [CT.ELASTICLOADBALANCING.PR.14〕 Network Load Balancer でクロスゾーン負荷分散を有効にする必要があります

• [CT.ELASTICLOADBALANCING.PR.15〕 Elastic Load Balancing v2 ターゲットグループがクロスゾーン負荷分散を明示的に無効にしないことを要求する

• [CT.EMR.PR.1〕 Amazon EMR (EMR) セキュリティ設定は、Amazon S3 に保管中のデータを暗号化するように設定する必要があります

• [CT.EMR.PR.2〕 Amazon EMR (EMR) セキュリティ設定は、Amazon S3 に保管中のデータを で暗号化するように設定する必要があります AWS KMS キー

• [CT.EMR.PR.3〕 Amazon EMR (EMR) セキュリティ設定は、 を使用したEBSボリュームローカルディスク暗号化で設定する必要があります AWS KMS キー

• [CT.EMR.PR.4〕 Amazon EMR (EMR) セキュリティ設定が転送中のデータを暗号化するように設定されている必要があります

• [CT.GLUE.PR.1〕 が必要です AWS セキュリティ設定を関連付ける Glue ジョブ

• [CT.GLUE.PR.2〕 が必要です AWS を使用して Amazon S3 ターゲット内のデータを暗号化する Glue セキュリティ設定 AWS KMS キー

• [CT.KMS.PR.2〕 が必要です AWS KMS 暗号化に使用されるキーマテリアルを持つ非対称RSAキーのキー長が 2048 ビットを超える

• [CT.KMS.PR.3〕 が必要です AWS KMS の作成を制限するステートメントを持つ キーポリシー AWS KMS への 許可 AWS サービス

• [CT.LAMBDA.PR.4〕 が必要です AWS Lambda へのアクセスを許可するレイヤーアクセス許可 AWS 組織または特定の AWS アカウント

• [CT.LAMBDA.PR.5〕 が必要です AWS Lambda 使用する URL 関数 AWS IAMベースの認証

• [CT.LAMBDA.PR.6〕 が必要です AWS Lambda 特定のオリジンへのアクセスを制限する 関数URLCORSポリシー

• [CT.NEPTUNE.PR.4〕 Amazon Neptune DB クラスターで監査 CloudWatch ログの Amazon ログエクスポートを有効にする必要があります

• [CT.NEPTUNE.PR.5〕 Amazon Neptune DB クラスターは、バックアップ保持期間を 7 日以上設定する必要があります

• [CT.REDSHIFT.PR.9〕 Amazon Redshift クラスターパラメータグループは、転送中のデータの暗号化に Secure Sockets Layer (SSL) を使用するように設定する必要があります

• [SH.Athena.1〕 Athena ワークグループは保管時に暗号化する必要があります

• [SH.Neptune.1〕 Neptune DB クラスターは保管時に暗号化する必要があります

• [SH.Neptune.2〕 Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

• [SH.Neptune.3〕 Neptune DB クラスタースナップショットはパブリックにしないでください

• [SH.Neptune.4〕 Neptune DB クラスターでは、削除保護を有効にする必要があります

• [SH.Neptune.5〕 Neptune DB クラスターでは、自動バックアップを有効にする必要があります

• [SH.Neptune.6〕 Neptune DB クラスタースナップショットは保管時に暗号化する必要があります

• [SH.Neptune.7〕 Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

• [SH.Neptune.8〕 Neptune DB クラスターは、タグをスナップショットにコピーするように設定する必要があります

• [SH.RDS.27〕 RDS DB クラスターは保管時に暗号化する必要があります

新しいコントロールの詳細なリストは次のとおりです。

• [CTAPPSYNC。PR.1] が必要です AWS AppSync GraphQL APIでログ記録を有効にする

• [CTCLOUDWATCH。PR.1] Amazon CloudWatch アラームには、アラーム状態に設定されたアクションが必要です

• [CTCLOUDWATCH。PR.2] Amazon CloudWatch ロググループを少なくとも 1 年間保持する必要があります

• [CTCLOUDWATCH。PR.3] Amazon CloudWatch ロググループは、保管時に で暗号化する必要があります AWS KMS キー

• [CTCLOUDWATCH。PR.4] Amazon CloudWatch アラームアクションを有効にする必要があります

• [CTDOCUMENTDB。PR.1] Amazon DocumentDB クラスターは保管時に暗号化する必要があります

• [CTDOCUMENTDB。PR.2] Amazon DocumentDB クラスターで自動バックアップを有効にする必要があります

• [CTDYNAMODB。PR.2] Amazon DynamoDB テーブルは、保管時に を使用して暗号化する必要があります AWS KMS キー

• [CTEC2。PR.13] Amazon EC2インスタンスで詳細モニタリングを有効にする必要があります

• [CTEKS。PR.1] Amazon EKSクラスターは、クラスター Kubernetes APIサーバーエンドポイントへのパブリックアクセスを無効にして設定する必要があります

• [CTELASTICACHE。PR.1] Amazon ElastiCache for Redis クラスターで自動バックアップを有効にする必要があります

• [CTELASTICACHE。PR.2] Amazon ElastiCache for Redis クラスターで自動マイナーバージョンアップグレードを有効にする必要があります

• [CTELASTICACHE。PR.3] Amazon ElastiCache for Redis レプリケーショングループで自動フェイルオーバーを有効にする必要があります

• [CTELASTICACHE。PR.4] Amazon ElastiCache レプリケーショングループで保管時の暗号化を有効にする必要があります

• [CTELASTICACHE。PR.5] Amazon ElastiCache for Redis レプリケーショングループで転送中の暗号化を有効にする必要があります

• [CTELASTICACHE。PR.6] Amazon ElastiCache キャッシュクラスターはカスタムサブネットグループを使用する必要があります

• [CTELASTICACHE。PR.7] 以前の Redis バージョンの Amazon ElastiCache レプリケーショングループには Redis AUTH認証が必要です

• [CTELASTICBEANSTALK。PR.3] が必要です AWS Elastic Beanstalk 環境のログ記録設定

• [CTLAMBDA。PR.3] が必要です AWS Lambda カスタマー管理の Amazon Virtual Private Cloud にある 関数 (VPC）

• [CTNEPTUNE。PR.1] Amazon Neptune DB クラスターには が必要です AWS Identity and Access Management （IAM) データベース認証

• [CTNEPTUNE。PR.2] Amazon Neptune DB クラスターで削除保護を有効にする必要があります

• [CTNEPTUNE。PR.3] Amazon Neptune DB クラスターでストレージ暗号化を有効にする必要があります

• [CTREDSHIFT。PR.8] Amazon Redshift クラスターを暗号化する必要があります

• [CT.S3.PR.9] Amazon S3 バケットで S3 オブジェクトロックを有効にする必要がある

• [CT.S3.PR.10] Amazon S3 バケットでは、 を使用してサーバー側の暗号化を設定する必要があります AWS KMS キー

• [CT.S3.PR.11] Amazon S3 バケットでバージョニングを有効にする必要がある

• [CTSTEPFUNCTIONS。PR.1] が必要です AWS Step Functions ログ記録を有効にする ステートマシン

• [CTSTEPFUNCTIONS。PR.2] が必要です AWS Step Functions を持つ ステートマシン AWS X-Ray トレースの有効化

• [SH.S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります

• [CT.S3.PR.7] Amazon S3 バケットにサーバー側の暗号化が設定されている必要があります

グローバルサービスと APIs の追加

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail （cloudtrail:LookupEvents) は、メンバーアカウントのグローバルイベントを可視化できるようにします。

• AWS 一括請求 (consolidatedbilling:*）

• AWS マネジメントコンソールモバイルアプリケーション (consoleapp:*）

• AWS 無料利用枠 (freetier:*）

• AWS Invoicing (invoicing:*)

• AWS IQ (iq:*）

• AWS ユーザー通知 (notifications:*）

• AWS ユーザー通知連絡先 (notifications-contacts:*）

• Amazon Payments (payments:*)

• AWS 税金設定 (tax:*）

グローバルサービスと APIs が削除されました

• 有効なアクションではないため、s3:GetAccountPublic は削除されました。

• 有効なアクションではないため、s3:PutAccountPublic は削除されました。

• [SH.Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

• [SH.APIGateway.8] API ゲートウェイルートは認証タイプを指定する必要があります

• [SH.APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

• [SH.CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

• [SH.EC2.25] EC2起動テンプレートは、ネットワークインターフェイスIPsにパブリックを割り当てないでください

• [SH.ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

• [SH.Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

• [SH.SageMaker.2] SageMaker ノートブックインスタンスはカスタム で起動する必要があります VPC

• [SH.SageMaker.3] SageMaker ユーザーはノートブックインスタンスへのルートアクセスを許可されない

• [SH.WAF.10] WAFV2ウェブには少なくとも 1 つのルールまたはルールグループACLが必要です

• デフォルトを受け入れ、AWSControl Tower がセットアップおよび管理することを許可できます。 AWS IAM Identity Center をお試しください。

• 自己管理を選択できます AWS IAM Identity Center。特定のビジネス要件を反映します。

• 必要に応じて、Identity Center を介して接続することで、サードパーティーの IAM ID プロバイダーを任意で持ち込み、自己管理できます。規制環境で特定のプロバイダーを使用する必要がある場合、または で運用している場合は、ID プロバイダーのオプションを使用する必要があります。 AWS リージョン この場合、次のようになります。 AWS IAM Identity Center は使用できません。

Amazon OpenSearch サービス

• [CTOPENSEARCH。PR.1] Elasticsearch ドメインが保管中のデータを暗号化する必要がある

• [CTOPENSEARCH。PR.2] ユーザー指定の Amazon で Elasticsearch ドメインを作成する必要があります VPC

• [CTOPENSEARCH。PR.3] ノード間で送信されるデータを暗号化するには Elasticsearch ドメインが必要です

• [CTOPENSEARCH。PR.4] Elasticsearch ドメインが Amazon CloudWatch Logs にエラーログを送信する必要がある

• [CTOPENSEARCH。PR.5] 監査ログを Amazon Logs に送信するには Elasticsearch CloudWatch ドメインが必要です

• [CTOPENSEARCH。PR.6] Elasticsearch ドメインにはゾーン認識と少なくとも 3 つのデータノードが必要です

• [CTOPENSEARCH。PR.7] Elasticsearch ドメインには、少なくとも 3 つの専用マスターノードが必要です

• [CTOPENSEARCH。PR.8] Elasticsearch Service ドメインは TLSv1.2 を使用する必要があります

• [CTOPENSEARCH。PR.9] Amazon OpenSearch Service ドメインが保管中のデータを暗号化する必要がある

• [CTOPENSEARCH。PR.10] ユーザー指定の Amazon で Amazon OpenSearch Service ドメインを作成する必要があります VPC

• [CTOPENSEARCH。PR.11] ノード間で送信されるデータを暗号化するには Amazon OpenSearch Service ドメインが必要です

• [CTOPENSEARCH。PR.12] Amazon OpenSearch Service ドメインが Amazon CloudWatch Logs にエラーログを送信する必要がある

• [CTOPENSEARCH。PR.13] Amazon OpenSearch Service ドメインが監査ログを Amazon CloudWatch Logs に送信する必要がある

• [CTOPENSEARCH。PR.14] Amazon OpenSearch Service ドメインにはゾーン認識と少なくとも 3 つのデータノードが必要です

• [CTOPENSEARCH。PR.15] Amazon OpenSearch Service ドメインはきめ細かなアクセスコントロールを使用する必要があります

• [CTOPENSEARCH。PR.16] Amazon OpenSearch Service ドメインは TLSv1.2 を使用する必要があります

Amazon EC2 Auto Scaling

• [CTAUTOSCALING。PR.1] Amazon EC2 Auto Scaling グループには複数のアベイラビリティーゾーンが必要です

• [CTAUTOSCALING。PR.2] Amazon EC2 Auto Scaling グループの起動設定で の Amazon EC2インスタンスを設定する必要があります IMDSv2

• [CTAUTOSCALING。PR.3] Amazon EC2 Auto Scaling 起動設定には、シングルホップメタデータレスポンス制限が必要です

• [CTAUTOSCALING。PR.4] Amazon Elastic Load Balancing (ELB) に関連付けられた Amazon EC2 Auto Scaling グループでELBヘルスチェックを有効にする必要があります Auto Scaling Elastic Load Balancing

• [CTAUTOSCALING。PR.5] Amazon EC2 Auto Scaling グループの起動設定にパブリック IP アドレスを持つ Amazon EC2インスタンスがない必要があります

• [CTAUTOSCALING。PR.6] すべての Amazon EC2 Auto Scaling グループで複数のインスタンスタイプを使用する必要があります

• [CTAUTOSCALING。PR.8] Amazon EC2 Auto Scaling グループにはEC2起動テンプレートが設定されている必要があります

Amazon SageMaker

• [CTSAGEMAKER。PR.1] Amazon SageMaker ノートブックインスタンスが直接インターネットアクセスできないようにする必要がある

• [CTSAGEMAKER。PR.2] Amazon SageMaker ノートブックインスタンスをカスタム Amazon 内にデプロイする必要があります VPC

• [CTSAGEMAKER。PR.3] Amazon SageMaker ノートブックインスタンスにはルートアクセスが許可されていない必要があります

Amazon API Gateway

• [CTAPIGATEWAY。PR.5] Amazon API Gateway V2 Websocket と HTTPルートで認証タイプを指定する必要がある

Amazon Relational Database Service (RDS）

• [CTRDS。PR.25] Amazon RDS データベースクラスターでログ記録が設定されている必要があります

• Amazon CloudWatch Logs ユーザーガイドの「Amazon CloudWatch Logs とは」

• とは AWS Step Functionsの ? AWS Step Functions デベロッパーガイド

• このリリースでは、AWSControl Tower はアクセスログバケット の不要なアクセスログを無効にします。これは、アクセスログがログアーカイブアカウントに格納されている Amazon S3 バケットであり、S3 バケットのサーバーアクセスログ記録は引き続き有効にします。このリリースには、 リージョン拒否コントロールの更新も含まれています。これにより、 などのグローバルサービスに対する追加のアクションが可能になります。 AWS Support プランと AWS Artifact.

• AWS Control Tower アクセスログバケットのサーバーアクセスログ記録を非アクティブ化すると、 が原因で、Security Hub はログアーカイブアカウントのアクセスログバケット の検出結果を作成します。 AWS Security Hub ルール、[S3.9] S3 バケットサーバーアクセスのログ記録を有効にする必要があります。Security Hub に従い、このルールの Security Hub の説明に記載されているように、この特定の結果を非表示にすることをお勧めします。追加情報については、「非表示の結果に関する情報」を参照してください。

• Log Archive アカウントの (通常の) ログバケットのアクセスログは、バージョン 3.1 でも変更されていません。ベストプラクティスに従い、そのバケットのアクセスイベントは、アクセスログバケットにログエントリとして記録されます。アクセスログの詳細については、Amazon S3 ドキュメントの「サーバーアクセスログを使用したリクエストのログ記録」を参照してください。

• リージョン拒否コントロールを更新しました。この更新により、より多くのグローバルサービスによるアクションが可能になります。この の詳細についてはSCP、「 へのアクセスを拒否する」を参照してください。 AWS リクエストされた に基づく AWS リージョン および データレジデンシー保護を強化するコントロール。

  追加されたグローバルサービス:

  • AWS Account Management (account:*)

  • AWS アクティブ化 (activate:*）

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*）

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail (lightsail:Get*）

  • AWS Resource Explorer (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint、s3:GetBucketPolicyStatus、s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*）

  • IAM Identity Center (sso:*）

  • AWS Support App (supportapp:*)

  • AWS Support プラン (supportplans:*）

  • AWS サステナビリティ (sustainability:*）

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Vendor Insights (vendor-insights:ListEntitledSecurityProfiles）