翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS SRA のコードリポジトリの例
簡単な調査を行い、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。 https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua |
AWS SRA でガイダンスの構築と実装を開始する際に役立つように、https://github.com/aws-samples/aws-security-reference-architecture-examples
AWS SRA コードリポジトリは、AWS CloudFormation と Terraform の両方のデプロイオプションを含むコードサンプルを提供します。ソリューションパターンは 2 つの環境をサポートします。1 つは AWS Control Tower を必要とし、もう 1 つは AWS Control Tower を使用しない AWS Organizations を使用します。AWS Control Tower を必要とするこのリポジトリ内のソリューションは、AWS および AWS Control Tower のカスタマイズ (CfCT) を使用して AWS Control Tower
AWS SRA リポジトリ
-
CloudTrail Organization
ソリューションは、組織管理アカウント内に組織の証跡を作成し、監査アカウントや Security Tooling アカウントなどのメンバーアカウントに管理を委任します。この証跡は、Security Tooling アカウントで作成されたカスタマーマネージドキーで暗号化され、ログアーカイブアカウントの S3 バケットにログを配信します。オプションで、Amazon S3 および AWS Lambda 関数に対してデータイベントを有効にできます。組織の証跡は、メンバーアカウントが設定を変更できないようにしながら、AWS 組織内のすべての AWS アカウントのイベントをログに記録します。 -
GuardDuty Organization
ソリューションでは、Security Tooling アカウントに管理を委任 GuardDuty することで Amazon を有効にします。これは、すべての既存および将来の AWS 組織アカウントの Security Tooling アカウント GuardDuty 内で設定します。また、検出結果は GuardDutyKMS キーで暗号化され、ログアーカイブアカウントの S3 バケットに送信されます。 -
Security Hub Organization
ソリューションは、Security Tooling アカウントに管理を委任することで AWS Security Hub を設定します。Security Tooling アカウント内で、既存の AWS 組織アカウントと将来の AWS 組織アカウントすべてに対して Security Hub を設定します。このソリューションは、すべてのアカウントとリージョンで有効なセキュリティ標準を同期し、Security Tooling アカウント内でリージョンアグリゲータを設定するためのパラメータも提供します。Security Tooling アカウント内の Security Hub を一元化すると、セキュリティ標準のコンプライアンスと、AWS サービスとサードパーティーの AWS パートナー統合の両方の結果をクロスアカウントで確認できます。 -
Inspector
ソリューションは、AWS 組織のすべてのアカウントと管理対象リージョンについて、委任管理者 (セキュリティツール) アカウント内で Amazon Inspector を設定します。 -
Firewall Manager
ソリューションは、Security Tooling AWS Firewall Manager AWS WAF Firewall Manager セキュリティポリシーを設定します。セキュリティグループポリシーには、ソリューションによってデプロイされる VPC (既存またはソリューションによって作成された) 内の最大許容セキュリティグループが必要です。 -
Macie Organization
ソリューションでは、Security Tooling アカウントに管理を委任することで Amazon Macie を有効にします。これは、すべての既存および将来の AWS 組織アカウントに対して、Security Tooling アカウント内で Macie を設定します。Macie は、KMS キーで暗号化された中央の S3 バケットにディスカバリ結果を送信するようにさらに構成されています。 -
AWS Config
-
Config Aggregator
ソリューションは、Security Tooling アカウントに管理を委任することで AWS Config アグリゲータを設定します。次に、このソリューションは、AWS 組織内のすべての既存および将来のアカウントに対して、Security Tooling アカウント内で AWS Config アグリゲータを設定します。 -
コンフォーマンスパック組織ルール
ソリューションは、Security Tooling アカウントに管理を委任することで AWS Config ルールをデプロイします。次に、AWS 組織内のすべての既存および将来のアカウントの委任管理者アカウント内に組織コンフォーマンスパックを作成します。このソリューションは、暗号化およびキー管理コンフォーマンスパックのサンプルテンプレートの運用のベストプラクティスをデプロイするように設定されています。 -
AWS Config Control Tower 管理アカウント
ソリューションは、AWS Configで AWS Config を有効にし、Security Tooling アカウント内の AWS Config アグリゲータを適宜更新します。このソリューションでは、AWS Control Tower CloudFormation テンプレートを使用して AWS Config をリファレンスとして有効にし、AWS 組織内の他のアカウントとの整合性を確保します。
-
-
IAM
-
Access Analyzer
ソリューションでは、Security Tooling アカウントに管理を委任することで、AWS IAM Access Analyzer を有効にします。次に、AWS 組織内のすべての既存および将来のアカウントについて、Security Tooling アカウント内で組織レベルの Access Analyzer を設定します。このソリューションは、アカウントレベルのアクセス許可の分析をサポートするために、すべてのメンバーアカウントとリージョンにも Access Analyzer をデプロイします。 -
IAM パスワードポリシー
ソリューションは、AWS 組織内のすべてのアカウント内の AWS アカウントのパスワードポリシーを更新します。このソリューションは、業界標準のコンプライアンス基準に準拠できるようにパスワードポリシー設定を構成するためのパラメータを提供します。
-
-
EC2 デフォルト EBS 暗号化
ソリューションは、AWS 組織内の各 AWS アカウントと AWS リージョン内で、アカウントレベルのデフォルトの Amazon EBS 暗号化を有効にします。これにより、作成した新しい EBS ボリュームとスナップショットの暗号化が強制されます。例えば、Amazon EBS は、インスタンスの起動時に作成される EBS ボリュームと、暗号化されていないスナップショットからコピーするスナップショットを暗号化します。 -
S3 ブロックアカウントパブリックアクセス
ソリューションは、AWS 組織内の各 AWS アカウント内で Amazon S3 アカウントレベルの設定を有効にします。Amazon S3 のパブリックアクセスブロック機能は、Amazon S3 のリソースへのパブリックアクセスの管理に役立つ、アクセスポイント、バケット、アカウントの設定を提供します。デフォルトでは、新しいバケット、アクセスポイント、およびオブジェクトはパブリックアクセスを許可しません。ただし、ユーザーはバケットポリシー、アクセスポイントポリシー、またはオブジェクトのアクセス許可を変更することで、パブリックアクセスを許可できます。Amazon S3 のパブリックアクセスブロック設定は、これらのポリシーとアクセス許可を上書きして、これらのリソースへのパブリックアクセスを制限できるようにします。 -
Detective Organization
ソリューションでは、管理をアカウント (Audit アカウントや Security Tooling アカウントなど) に委任し、既存および将来のすべての AWS Organization アカウントに対して Detective を設定することで、Amazon Detective の有効化を自動化します。 -
Shield Advanced
ソリューションは、AWS Shield Advanced のデプロイを自動化して、AWS 上のアプリケーションに強化された DDoS 保護を提供します。 -
AMI Bakery Organization
ソリューションは、標準の強化された Amazon マシンイメージ (AMI) イメージの構築と管理のプロセスを自動化するのに役立ちます。これにより、AWS インスタンス間の一貫性とセキュリティが確保され、デプロイとメンテナンスのタスクが簡素化されます。