Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Règles de curated SCPs et de configuration
Règles de configuration SCPs et de curation pour AMS Advanced.
Politiques de contrôle des services (SCPs) : SCPs Les politiques fournies s'ajoutent aux politiques AMS par défaut.
Vous pouvez utiliser ces contrôles de bibliothèque en tandem avec ceux par défaut pour répondre à des exigences de sécurité spécifiques.
Règles de configuration : comme mesure de base, AMS recommande d'appliquer des packs de conformité (voir Packs de conformité dans le AWS Config guide) en plus des règles de configuration AMS par défaut (voir AMS Artifacts pour les règles par défaut). Les packs de conformité couvrent la majorité des exigences de conformité et AWS les met régulièrement à jour.
Les règles répertoriées ici peuvent être utilisées pour combler les lacunes spécifiques à des cas d'utilisation qui ne sont pas couvertes par les packs de conformité
Note
Au fur et à mesure que les règles par défaut et les packs de conformité d'AMS sont mis à jour au fil du temps, vous pouvez voir des doublons de ces règles.
AMS recommande de nettoyer régulièrement les règles de configuration dupliquées en général.
Pour AMS Advanced, les règles de configuration ne doivent pas utiliser de corrections automatiques (voir Corriger les ressources AWS non conformes par les règles de configuration AWS) afin d'éviter les modifications. out-of-band
SCP-AMS-001 : Restreindre la création d'EBS
Empêchez la création de volumes EBS si le chiffrement n'est pas activé.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:CreateVolume", "Resource": "*", "Effect": "Deny" }
SCP-AMS-002 : Restreindre le lancement EC2
Empêchez le lancement d'une EC2 instance si le volume EBS n'est pas chiffré. Cela inclut le refus d'un EC2 lancement en mode non chiffré, AMIs car ce SCP s'applique également aux volumes racines.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:volume/*", "Effect": "Deny" }
SCP-ADV-001 : Restreindre les soumissions de RFC
Empêchez les rôles AMS par défaut de soumettre des données automatisées spécifiques, RFCs telles que Create VPC ou Delete VPC. Cela est utile si vous souhaitez appliquer des autorisations plus détaillées à vos rôles fédérés.
Par exemple, vous souhaiterez peut-être que la valeur par défaut AWSManagedServicesChangeManagement Role soit en mesure de soumettre la plupart des informations disponibles, à l' RFCs exception de celles qui autorisent la création et la suppression d'un VPC, la création de sous-réseaux supplémentaires, le transfert d'un compte d'application, la mise à jour ou la suppression de fournisseurs d'identité SAML :
SCP-AMS-003 : Restreindre EC2 ou créer des RDS dans AMS
Empêchez la création d'instances Amazon EC2 et RDS qui ne possèdent pas de balises spécifiques, tout en autorisant le AMS Backup IAM rôle par défaut AMS à le faire. Cela est nécessaire pour la reprise après sinistre ou la DR.
{ "Sid": "DenyRunInstanceWithNoOrganizationTag", "Effect": "Deny", "Action": [ "ec2:RunInstances", "rds:CreateDBInstance" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:rds:*:*:db:*" ], "Condition": { "Null": { "aws:RequestTag/organization": "true" }, "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::<Account_Number>:role/ams-backup-iam-role" ] } } }
SCP-AMS-004 : Restreindre les téléchargements de S3
Empêchez le téléchargement d'objets S3 non chiffrés.
{ "Sid": "DenyUnencryptedS3Uploads", "Effect": "Deny", "Action": "s3:PutObject", "Resource": "*", "Condition": { "StringNotLike": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }, "Null": { "s3:x-amz-server-side-encryption": "false" } } } ] }
SCP-AMS-005 : Restreindre l'accès à l'API et à la console
Empêchez l'accès à la console AWS et à l'API pour les demandes provenant d'adresses IP erronées connues en tant que client déterminé InfoSec.
SCP-AMS-006 : Empêcher l'entité IAM de supprimer le compte membre de l'organisation
Empêcher une AWS Identity and Access Management entité de supprimer des comptes de membres de l'organisation.
{ "Effect": "Deny", "Action": ["organizations:LeaveOrganization"], "Resource": ["*"] }
SCP-AMS-007 : Empêchez le partage de ressources avec des comptes extérieurs à votre organisation
Empêchez le partage de ressources avec des comptes externes extérieurs à votre AWS organisation
{ "Effect": "Deny", "Action": [ "ram:*" ], "Resource": [ "*" ], "Condition": { "Bool": { "ram:AllowsExternalPrincipals": "true" } } }, { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } }
SCP-AMS-008 : Empêcher le partage avec des organisations ou des unités organisationnelles () OUs
Empêchez le partage de ressources avec and/or une unité d'organisation associée à un compte.
{ "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}", "arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}" ] } } }
SCP-AMS-009 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources
Empêchez les comptes membres d'accepter des invitations AWS RAM à rejoindre des partages de ressources. Cette API ne prend en charge aucune condition et empêche les partages uniquement à partir de comptes externes.
{ "Effect": "Deny", "Action": ["ram:AcceptResourceShareInvitation"], "Resource": ["*"] }
SCP-AMS-010 : Empêcher les actions d'activation et de désactivation de la région du compte
Empêchez d'activer ou de désactiver de nouvelles AWS régions pour vos AWS comptes.
{ "Effect": "Deny", "Action": [ "account:EnableRegion", "account:DisableRegion" ], "Resource": "*" }
SCP-AMS-011 : Empêcher les actions de modification de facturation
Empêchez les modifications de la configuration de facturation et de paiement.
{ "Effect": "Deny", "Action": [ "aws-portal:ModifyBilling", "aws-portal:ModifyAccount", "aws-portal:ModifyPaymentMethods" ], "Resource": "*" }
SCP-AMS-012 : Empêcher la suppression ou la modification de données spécifiques CloudTrails
Empêchez les modifications apportées à des AWS CloudTrail sentiers spécifiques.
{ "Effect": "Deny", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:PutInsightSelectors", "cloudtrail:UpdateEventDataStore", "cloudtrail:UpdateTrail", "cloudtrail:StopLogging" ], "Resource": [ "arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}" ] }
SCP-AMS-013 : Empêcher la désactivation du chiffrement EBS par défaut
Empêchez la désactivation du chiffrement Amazon EBS par défaut.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
SCP-AMS-014 : Empêcher la création d'un VPC et d'un sous-réseau par défaut
Empêchez la création d'un Amazon VPC et de sous-réseaux par défaut.
{ "Effect": "Deny", "Action": [ "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc" ], "Resource": "*" }
SCP-AMS-015 : Empêcher la désactivation et la modification GuardDuty
Empêchez GuardDuty la modification ou la désactivation d'Amazon.
{ "Effect": "Deny", "Action": [ "guardduty:AcceptInvitation", "guardduty:ArchiveFindings", "guardduty:CreateDetector", "guardduty:CreateFilter", "guardduty:CreateIPSet", "guardduty:CreateMembers", "guardduty:CreatePublishingDestination", "guardduty:CreateSampleFindings", "guardduty:CreateThreatIntelSet", "guardduty:DeclineInvitations", "guardduty:DeleteDetector", "guardduty:DeleteFilter", "guardduty:DeleteInvitations", "guardduty:DeleteIPSet", "guardduty:DeleteMembers", "guardduty:DeletePublishingDestination", "guardduty:DeleteThreatIntelSet", "guardduty:DisableOrganizationAdminAccount", "guardduty:DisassociateFromMasterAccount", "guardduty:DisassociateMembers", "guardduty:InviteMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:TagResource", "guardduty:UnarchiveFindings", "guardduty:UntagResource", "guardduty:UpdateDetector", "guardduty:UpdateFilter", "guardduty:UpdateFindingsFeedback", "guardduty:UpdateIPSet", "guardduty:UpdateMalwareScanSettings", "guardduty:UpdateMemberDetectors", "guardduty:UpdateOrganizationConfiguration", "guardduty:UpdatePublishingDestination", "guardduty:UpdateThreatIntelSet" ], "Resource": "*" }
SCP-AMS-016 : Empêche l'activité de l'utilisateur root
Empêchez l'utilisateur root d'effectuer une quelconque action.
{ "Action": "*", "Resource": "*", "Effect": "Deny", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } }
SCP-AMS-017 : Empêcher la création de clés d'accès pour l'utilisateur root
Empêchez la création de clés d'accès pour l'utilisateur root.
{ "Effect": "Deny", "Action": "iam:CreateAccessKey", "Resource": "arn:aws:iam::*:root" }
SCP-AMS-018 : Empêcher la désactivation du blocage de l'accès public au compte S3
Empêchez la désactivation du blocage de l'accès public d'un compte Amazon S3. Cela empêche tout compartiment du compte de devenir public.
{ "Effect": "Deny", "Action": "s3:PutAccountPublicAccessBlock", "Resource": "*" }
SCP-AMS-019 : Empêcher la désactivation d'AWS Config ou la modification des règles de configuration
Empêchez la désactivation ou la modification des AWS Config règles.
{ "Effect": "Deny", "Action": [ "config:DeleteConfigRule", "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteEvaluationResults", "config:StopConfigurationRecorder" ], "Resource": "*" }
SCP-AMS-020 : Empêche toutes les actions de l'IAM
Empêchez toutes les actions IAM.
{ "Effect": "Deny", "Action": [ "iam:*" ], "Resource": "*" }
SCP-AMS-021 : Empêche la suppression de journaux, de groupes et de flux CloudWatch
Empêchez la suppression de groupes et de flux Amazon CloudWatch Logs.
{ "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": "*" }
SCP-AMS-022 : Empêcher la suppression de Glacier
Empêchez la suppression d'Amazon Glacier.
{ "Effect": "Deny", "Action": [ "glacier:DeleteArchive", "glacier:DeleteVault" ], "Resource": "*" }
SCP-AMS-023 : Empêcher la suppression d'IAM Access Analyzer
Empêchez la suppression d'IAM Access Analyzer.
{ "Action": [ "access-analyzer:DeleteAnalyzer" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-024 : Empêcher les modifications apportées au Security Hub
Empêcher la suppression de AWS Security Hub.
{ "Action": [ "securityhub:DeleteInvitations", "securityhub:DisableSecurityHub", "securityhub:DisassociateFromMasterAccount", "securityhub:DeleteMembers", "securityhub:DisassociateMembers" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-025 : Empêcher la suppression sous Directory Service
Empêcher la suppression de ressources sous AWS Directory Service.
{ "Action": [ "ds:DeleteDirectory", "ds:DeleteLogSubscription", "ds:DeleteSnapshot", "ds:DeleteTrust", "ds:DeregisterCertificate", "ds:DeregisterEventTopic", "ds:DisableLDAPS", "ds:DisableRadius", "ds:DisableSso", "ds:UnshareDirectory" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-026 : Empêcher l'utilisation d'un service refusé
Empêchez l'utilisation de services refusés.
Note
Remplacez service1 et service2 par les noms de vos services. Exemple access-analyzer ouIAM.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"] }
SCP-AMS-027 : Empêchez l'utilisation de services refusés dans des régions spécifiques
Empêchez l'utilisation de services refusés dans des régions spécifiques AWS .
Note
Remplacez service1 et service2 par les noms de vos services. Exemple access-analyzer ouIAM.
Remplacez region1 et region2 par les noms de vos services. Exemple us-west-2 ouuse-east-1.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"], "Condition": { "StringEquals": { "aws:RequestedRegion": [ "region1", "region2" ] } } }
SCP-AMS-028 : Empêche la modification des tags sauf par des personnes autorisées
Empêchez les utilisateurs de modifier les balises, à l'exception des principaux autorisés. Utilisez des balises d'autorisation pour autoriser les principaux. Les balises d'autorisation doivent être associées aux ressources et aux principaux. A n' user/role est considéré comme autorisé que si les balises de la ressource et du principal correspondent. Pour plus d’informations, consultez les ressources suivantes :
{ "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "ec2:ResourceTag/access-project": false } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "access-project" ] } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "aws:PrincipalTag/access-project": true } } }
SCP-AMS-029 : Empêcher les utilisateurs de supprimer les journaux de flux Amazon VPC
Empêchez la suppression des journaux de flux Amazon VPC.
{ "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream", "s3:DeleteBucket", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:PutLifecycleConfiguration", "firehose:DeleteDeliveryStream" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-030 : Empêcher le partage du sous-réseau VPC avec un compte autre qu'un compte réseau
Empêchez le partage de sous-réseaux Amazon VPC avec des comptes autres que le compte réseau.
Note
NETWORK_ACCOUNT_IDRemplacez-le par votre identifiant de compte réseau.
{ "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "ram:Principal": "NETWORK_ACCOUNT_ID" }, "StringEquals": { "ram:RequestedResourceType": "ec2:Subnet" } } }
SCP-AMS-031 : Empêcher le lancement d'instances avec des types d'instances interdits
Empêchez le lancement de types d' EC2 instances Amazon interdits.
Note
Remplacez instance_type1 et instance_type2 par les types d'instances que vous souhaitez restreindre, par exemple t2.micro ou par une chaîne générique telle que*.nano.
{ "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ForAnyValue:StringLike": { "ec2:InstanceType": [ "instance_type1", "instance_type2" ] } } }
SCP-AMS-032 : Empêcher le lancement d'instances sans IMDSv2
Empêchez EC2 les instances Amazon sans IMDSv2.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*" } ]
SCP-AMS-033 : Empêcher les modifications d'un rôle spécifique de l'IAM
Empêchez les modifications des rôles IAM spécifiés.
{ "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:TagRole", "iam:UntagRole", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
SCP-AMS-034 : Empêcher AssumeRolePolicy la modification de rôles IAM spécifiques
Empêchez les modifications apportées AssumeRolePolicy aux rôles IAM spécifiés.
{ "Action": [ "iam:UpdateAssumeRolePolicy" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
ConfigRule: Tags obligatoires
Vérifiez si EC2 les instances disposent des balises personnalisées dont vous avez besoin. En outre InfoSec, cela est également utile pour votre gestion des coûts
ConfigRuleName: required-tags Description: >- A Config rule that checks whether EC2 instances have the required tags. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' InputParameters: tag1Key: COST_CENTER tag2Key: APP_ID Source: Owner: AWS SourceIdentifier: REQUIRED_TAGS
ConfigRule: touche d'accès pivotée
Vérifiez que les clés d'accès sont pivotées dans le délai spécifié. Ce délai est généralement fixé à 90 jours conformément aux exigences de conformité habituelles.
ConfigRuleName: access-keys-rotated Description: >- A config rule that checks whether the active access keys are rotated within the number of days specified in maxAccessKeyAge. The rule is NON_COMPLIANT if the access keys have not been rotated for more than maxAccessKeyAge number of days. InputParameters: maxAccessKeyAge: '90' Source: Owner: AWS SourceIdentifier: ACCESS_KEYS_ROTATED MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: clé d'accès root IAM dans AMS
Vérifiez qu'aucune clé d'accès root n'est présente sur un compte. Pour les comptes AMS Advanced, cela devrait être conforme out-of-the-box.
ConfigRuleName: iam-root-access-key-check Description: >- A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist. Source: Owner: AWS SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: géré par SSM EC2
Vérifiez que vous EC2s êtes géré par SSM Systems Manager.
ConfigRuleName: ec2-instance-managed-by-systems-manager Description: >- A Config rule that checks whether the EC2 instances in the account are managed by AWS Systems Manager. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' - 'AWS::SSM::ManagedInstanceInventory' Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
ConfigRule: utilisateur IAM non utilisé dans AMS
Vérifiez les informations d'identification de l'utilisateur IAM qui n'ont pas été utilisées pendant une durée spécifiée. Tout comme le contrôle de rotation des clés, ce délai est généralement de 90 jours par défaut, conformément aux exigences de conformité habituelles.
ConfigRuleName: iam-user-unused-credentials-check Description: >- A config rule that checks whether IAM users have passwords or active access keys that have not been used within the specified number of days provided. InputParameters: maxCredentialUsageAge: '90' Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: journalisation du compartiment S3
Vérifiez que la journalisation a été activée pour les compartiments S3 du compte.
ConfigRuleName: s3-bucket-logging-enabled Description: >- A Config rule that checks whether logging is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
ConfigRule: gestion des versions du compartiment S3
Vérifiez que le contrôle de version et la suppression MFA (facultatif) sont activés sur tous les compartiments S3
ConfigRuleName: s3-bucket-versioning-enabled Description: >- A Config rule that checks whether versioning is enabled for S3 buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
ConfigRule: accès public S3
Vérifiez que les paramètres d'accès public (Public ACL, Public Policy, Public Buckets) sont restreints sur l'ensemble du compte
ConfigRuleName: s3-account-level-public-access-blocks Description: >- A Config rule that checks whether the required public access block settings are configured from account level. The rule is only NON_COMPLIANT when the fields set below do not match the corresponding fields in the configuration item. Scope: ComplianceResourceTypes: - 'AWS::S3::AccountPublicAccessBlock' InputParameters: IgnorePublicAcls: 'True' BlockPublicPolicy: 'True' BlockPublicAcls: 'True' RestrictPublicBuckets: 'True' Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
ConfigRule: Résultats non archivés GuardDuty
Vérifiez si les GuardDuty résultats non archivés sont antérieurs à la durée spécifiée. La durée par défaut est de 30 jours pour les valeurs basses, 7 jours pour les valeurs moyennes et 1 jour pour les valeurs élevées.
ConfigRuleName: guardduty-non-archived-findings Description: >- A Config rule that checks whether the Amazon GuardDuty has findings that are non archived. The rule is NON_COMPLIANT if GuardDuty has non archived low/medium/high severity findings older than the specified number. InputParameters: daysLowSev: '30' daysMediumSev: '7' daysHighSev: '1' Source: Owner: AWS SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: suppression de la clé CMK
Vérifiez les clés principales AWS Key Management Service personnalisées (CMKs) dont la suppression est planifiée (c'est-à-dire en attente). Ceci est crucial car l'ignorance de la suppression des CMK peut rendre les données irrécupérables.
ConfigRuleName: kms-cmk-not-scheduled-for-deletion Description: >- A config rule that checks whether customer master keys (CMKs) are not scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is NON_COMPLIANT if CMKs are scheduled for deletion. Source: Owner: AWS SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: rotation de la CMK
Vérifiez que la rotation automatique est activée pour chaque CMK du compte
ConfigRuleName: cmk-backing-key-rotation-enabled Description: >- A config rule that checks that key rotation is enabled for each customer master key (CMK). The rule is COMPLIANT, if the key rotation is enabled for specific key object. The rule is not applicable to CMKs that have imported key material. Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED MaximumExecutionFrequency: TwentyFour_Hours
