SEC08-BP04 アクセスコントロールを適用する

機密度要件と分類の異なるデータを一緒に保管する。

復号化キーに、過度に寛容なアクセス許可を使用する。

データを不適切に分類する。

重要なデータの詳細なバックアップを保持しない。

本番データへの永続的なアクセスを提供する。

データアクセスを監査することも、定期的にアクセス許可を審査することもしていない。

アクセスコントロールを適用する: 暗号キーへのアクセスを含め、最小権限を用いたアクセスコントロールを適用します。

さまざまな分類レベルに基づいてデータを分離する: データ分類レベルにはそれぞれ異なる AWS アカウント を使用し、それらのアカウントは AWS Organizations を使って管理します。

AWS Key Management Service （AWS KMS) ポリシーの確認: AWS KMS ポリシーで付与されるアクセスレベルを確認します。

Amazon S3 バケットとオブジェクトアクセス許可をレビューする: S3 バケットのポリシーで付与されるアクセスのレベルを定期的にレビューします。ベストプラクティスは、バケットを公開で読み取ったり書き込んだりできないようにすることです。AWS Config を使用して公開されているバケットを検出し、Amazon CloudFront を使用して Amazon S3 のコンテンツを配信することを検討してください。パブリックアクセスを許可してはならないバケットが、パブリックアクセスを防ぐように正しく構成されていることを確認します。デフォルトでは、すべての S3 バケットはプライベートであり、明示的にアクセスが許可されたユーザーのみがアクセスできます。

AWS IAM Access Analyzer の使用： IAM Access Analyzer は Amazon S3 バケットを分析し、S3 ポリシーが外部エンティティへのアクセスを許可すると検出結果を生成します。

必要に応じて、Amazon S3 のバージョニングと Object Lock を使用します。

Amazon S3 インベントリを使用する: S3 オブジェクトのレプリケーションと暗号化ステータスの監査およびレポートには Amazon S3 インベントリを使用します。

Amazon EBS を確認してアクセス許可AMIを共有する: アクセス許可を共有すると、ワークロードの外部 AWS アカウント にある とイメージとボリュームを共有できます。

AWS Resource Access Manager の共有を定期的にレビューして、リソースを共有し続けるかどうかを決定します。Resource Access Manager を使用すると、 AWS Network Firewall ポリシー、Amazon Route 53 リゾルバールール、サブネットなどのリソースを Amazon 内で共有できますVPCs。定期的に共有リソースを監査し、共有が不要になったリソースは共有を停止します。

SEC03-BP01 アクセス要件を定義する

SEC03-BP02 最小特権アクセスを付与する

AWS KMS 暗号化の詳細ホワイトペーパー

Amazon S3 リソースへのアクセス許可の管理

AWS KMS リソースへのアクセス管理の概要

AWS Config ルール

Amazon S3 + Amazon CloudFront: クラウドで行われた一致

バージョニングの使用

S3 Object Lock を使ってオブジェクトをロックする

Amazon EBS スナップショットの共有

共有 AMIs

Amazon S3 で単一ページのアプリケーションをホストする

でブロックストレージを保護する AWS