AWS SRA の例のコードリポジトリ - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS SRA の例のコードリポジトリ

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケートに回答してください。

AWS SRA でガイダンスの構築と実装を開始する際に役立つように、aws-security-reference-architecturehttps://github.com/aws-samples/-examples の Infrastructure as Code (IaC) リポジトリがこのガイドに含まれています。このリポジトリには、デベロッパーやエンジニアがこのドキュメントに記載されているガイダンスとアーキテクチャパターンの一部をデプロイするのに役立つコードが含まれています。このコードは、AWS Professional Services コンサルタントがお客様に対して直接体験したものです。テンプレートは一般的なものであり、完全なソリューションを提供するのではなく、実装パターンを説明することが目的です。AWS サービスの設定とリソースのデプロイは、意図的に非常に制限されています。これらのソリューションは、環境やセキュリティのニーズに合わせて変更および調整する必要がある場合があります。

AWS SRAリポジトリは、 CloudFormation AWS と Terraform の両方のデプロイオプションを含むコードサンプルを提供します。ソリューションパターンは 2 つの環境をサポートしています。1 つは AWS Control Tower が必要で、もう 1 つは AWS Control Tower を使用しない AWS Organizations を使用します。AWS Control Tower を必要とするこのリポジトリのソリューションは、AWS および Customizations for CloudFormation AWS Control Tower (CfCT) を使用して Word Control Tower 環境内でデプロイされ、テストされています。 AWS CfCT AWS Control Tower を必要としないソリューションは、Word Organizations 環境内で AWS を使用してテストされていますAWS CloudFormation。CfCT ソリューションは、AWS のベストプラクティスに基づいて、安全なマルチアカウント AWS 環境を迅速にセットアップするのに役立ちます。安全でスケーラブルなワークロードを実行する環境のセットアップを自動化し、アカウントとリソースの作成を通じて初期セキュリティベースラインを実装することで、時間を節約できます。AWS Control Tower は、マルチアカウントアーキテクチャ、ID とアクセスの管理、ガバナンス、データセキュリティ、ネットワーク設計、ログ記録を開始するためのベースライン環境も提供します。AWS SRA リポジトリのソリューションは、このドキュメントで説明されているパターンを実装するための追加のセキュリティ設定を提供します。

AWS SRAリポジトリのソリューションの概要を次に示します。各ソリューションには、詳細を含む README.md ファイルが含まれています。 

  • CloudTrail Organization ソリューションは、組織管理アカウント内に組織の証跡を作成し、監査アカウントやセキュリティツールアカウントなどのメンバーアカウントに管理を委任します。この証跡は、Security Tooling アカウントで作成されたカスタマーマネージドキーで暗号化され、ログアーカイブアカウントの S3 バケットにログを配信します。必要に応じて、Amazon S3 関数と AWS Lambda 関数でデータイベントを有効にできます。組織の証跡は、メンバーAWSアカウントが設定を変更できないようにしながら、Word 組織内のすべての AWS アカウントのイベントをログに記録します。

  • GuardDuty Organization ソリューションは、Security Tooling アカウントに管理を委任することで Amazon GuardDuty を有効にします。既存の GuardDuty 組織アカウントと将来の Word 組織アカウントのセキュリティツールアカウント内で AWS を設定します。 GuardDuty の検出結果も KMS キーで暗号化され、ログアーカイブアカウントの S3 バケットに送信されます。

  • Security Hub Organization ソリューションは、Security Tooling アカウントに管理を委任することで AWS Security Hub を設定します。Security Tooling アカウント内で、既存の Word 組織アカウントと将来の AWS 組織アカウントすべてに対して Security Hub を設定します。このソリューションは、すべてのアカウントとリージョンで有効なセキュリティ標準を同期し、Security Tooling アカウント内でリージョンアグリゲータを設定するためのパラメータも提供します。Security Tooling アカウント内の Security Hub を一元化すると、セキュリティ標準のコンプライアンスと、AWS サービスとサードパーティーの AWS パートナー統合の両方の結果をクロスアカウントで確認できます。

  • Inspector ソリューションは、AWS 組織のすべてのアカウントと管理対象リージョンについて、委任管理者 (セキュリティツール) アカウント内で Amazon Inspector を設定します。

  • Firewall Manager ソリューションは、Security Tooling アカウントに管理を委任し、セキュリティグループポリシーと複数の AWS WAF ポリシーを使用して Firewall Manager を設定することで、AWS Firewall Manager のセキュリティポリシーを設定します。セキュリティグループポリシーには、ソリューションによってデプロイされる VPC (ソリューションによって既存または作成された) 内の最大許容セキュリティグループが必要です。

  • Macie Organization ソリューションでは、管理を Security Tooling アカウントに委任することで Amazon Macie を有効にします。これは、すべての既存および将来の AWS 組織アカウントの Security Tooling アカウント内で Macie を設定します。Macie は、KMS キーで暗号化された中央 S3 バケットに検出結果を送信するようにさらに設定されています。

  • AWS設定

    • Config Aggregator ソリューションは、Security Tooling アカウントに管理を委任することで、AWS Config アグリゲータを設定します。次に、ソリューションは、AWS 組織内のすべての既存アカウントと将来のアカウントに対して、Security Tooling アカウント内に AWS Config アグリゲータを設定します。

    • コンフォーマンスパックの組織ルールソリューションは、Security Tooling アカウントに管理を委任して AWS Config ルールをデプロイします。次に、AWS 組織内のすべての既存および将来のアカウントの委任管理者アカウント内に組織コンフォーマンスパックを作成します。このソリューションは、「暗号化とキー管理の運用のベストプラクティス」コンフォーマンスパックのサンプルテンプレートをデプロイするように設定されています。

    • AWS Config Control Tower 管理アカウントソリューションは、AWS Control Tower 管理アカウントで AWS Config を有効にし、それに応じて Security Tooling アカウント内の AWS Config アグリゲータを更新します。このソリューションでは、AWS Control Tower CloudFormation テンプレートを使用して、AWS 組織内の他のアカウントとの整合性を確保するためのリファレンスとして AWS Config を有効にします。

  • IAM

    • Access Analyzer ソリューションでは、Security Tooling アカウントに管理を委任することでAWS、IAM Access Analyzer を有効にします。次に、AWS 組織内のすべての既存および将来のアカウントについて、Security Tooling アカウント内で組織レベルの Access Analyzer を設定します。このソリューションは、アカウントレベルのアクセス許可の分析をサポートするために、すべてのメンバーアカウントとリージョンにも Access Analyzer をデプロイします。

    • IAM パスワードポリシーソリューションは、AWS 組織内のすべてのアカウント内の AWS アカウントのパスワードポリシーを更新します。このソリューションは、業界のコンプライアンス標準に準拠できるようにパスワードポリシー設定を構成するためのパラメータを提供します。

  • EC2 Default EBS Encryption ソリューションは、Word 組織内の各 EBS アカウントと AWSAWS リージョン内で、アカウントレベルのデフォルトの Amazon AWS 暗号化を有効にします。これにより、作成した新しい EBS ボリュームとスナップショットの暗号化が強制されます。例えば、Amazon EBS は、インスタンスの起動時に作成される EBS ボリュームと、暗号化されていないスナップショットからコピーするスナップショットを暗号化します。

  • S3 ブロックアカウントパブリックアクセスソリューションは、AWS 組織内の各 AWS アカウント内で Amazon S3 アカウントレベルの設定を有効にします。Amazon S3 のパブリックアクセスブロック機能は、Amazon S3 のリソースへのパブリックアクセスの管理に役立つ、アクセスポイント、バケット、アカウントの設定を提供します。デフォルトでは、新しいバケット、アクセスポイント、およびオブジェクトはパブリックアクセスを許可しません。ただし、ユーザーはバケットポリシー、アクセスポイントポリシー、またはオブジェクトのアクセス許可を変更することで、パブリックアクセスを許可できます。Amazon S3 のパブリックアクセスブロック設定は、これらのポリシーとアクセス許可を上書きして、これらのリソースへのパブリックアクセスを制限できるようにします。

  • Detective Organization ソリューションは、管理を アカウント (Audit アカウントや Security Tooling アカウントなど) に委任し、既存および将来のすべての AWS Organization アカウントに対して Detective を設定することで、Amazon Detective の有効化を自動化します。

  • Shield Advanced ソリューションは、AWS Shield Advanced のデプロイを自動化して、DDoS 上のアプリケーションに強化された AWS 保護を提供します。

  • AMI Bakery Organization ソリューションは、標準の強化された Amazon マシンイメージ (AMI) イメージの構築と管理のプロセスを自動化するのに役立ちます。これにより、AWS インスタンス全体の一貫性とセキュリティが確保され、デプロイとメンテナンスのタスクが簡素化されます。

  • Patch Manager ソリューションは、複数の AWS アカウントにわたるパッチ管理を効率化するのに役立ちます。このソリューションを使用して、すべてのマネージドインスタンスで AWS Systems Manager Agent (SSM Agent) を更新し、Windows および Linux のタグ付けされたインスタンスで重要かつ重要なセキュリティパッチとバグ修正をスキャンしてインストールできます。このソリューションは、新しい AWS アカウントの作成を検出し、それらのアカウントにソリューションを自動的にデプロイするように、デフォルトのホスト管理設定も設定します。