Accelerate の設定コンプライアンス - AMS Accelerate ユーザーガイド
AMS Config ルールライブラリ違反への対応ルール例外の作成 AWS Config コストの削減

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Accelerate の設定コンプライアンス

AMS Accelerate は、セキュリティと運用の整合性に関する高い基準にリソースを設定し、次の業界標準に準拠するのに役立ちます。

  • インターネットセキュリティセンター (CIS)

  • 米国国立標準技術研究所 (NIST) クラウドセキュリティフレームワーク (CSF)

  • Health Insurance Portability and Accountability Act (HIPAA)

  • Payment Card Industry (PCI) データセキュリティ標準 (DSS)

これを行うには、コンプライアンス AWS Config ルールセット全体をアカウントにデプロイします。「」を参照してくださいAMS Config ルールライブラリ。 AWS Config ルールは、リソースに必要な設定を表し、 AWS リソースの設定の変更に対して評価されます。設定を変更すると、コンプライアンスをテストするための多数のルールがトリガーされます。例えば、Amazon S3 バケットを作成し、NIST 標準に違反してパブリックに読み取れるように設定するとします。ams-nist-cis-s3-bucket-public-read-prohibited ルールは違反を検出し、設定レポートで S3 バケットに非準拠のラベルを付けます。このルールは自動インシデント修復カテゴリに属しているため、すぐにインシデントレポートを作成し、問題を警告します。その他のより重大なルール違反では、AMS によって問題が自動的に修正される可能性があります。「Accelerate での違反への対応」を参照してください。

重要

例えば、AMS で違反を修復する場合は、その修復カテゴリに関係なく、AMS に非準拠リソースの修復を求めるサービスリクエストを送信します。サービスリクエストには、「AMS 設定ルールの修正の一環として、非苦情リソース RESOURCE_ARNS_OR_IDs、アカウントの設定ルール CONFIG_RULE_NAME」などのコメントを含め、違反を修正するために必要な入力を追加します。

例えば、設計上パブリックアクセスを必要とする特定の S3 バケットに対してアクションを実行しない場合は、例外を作成できます。「」を参照してくださいAccelerate でのルール例外の作成

AMS Config ルールライブラリ

Accelerate は、アカウントを保護するために AMS 設定ルールのライブラリをデプロイします。これらの設定ルールは で始まりますams-。アカウント内のルールとそのコンプライアンス状態は、 AWS Config コンソール、 AWS CLI、または AWS Config API から表示できます。の使用に関する一般的な情報については AWS Config、ViewingConfiguration Compliance」を参照してください。

注記

オプトイン AWS リージョンおよび Gov クラウドリージョンの場合、リージョンの制限により、設定ルールのサブセットのみをデプロイします。AMS Accelerate 設定ルールテーブルの識別子に関連付けられたリンクをチェックして、リージョンのルールの可用性を確認します。

デプロイされた AMS Config ルールを削除することはできません。

ルールの表

ams_config_rules.zip としてダウンロードします。

AMS 設定ルール
ルール名 サービス Trigger トリガー) アクション フレームワーク
ams-nist-cis-guardduty-enabled-centralized GuardDuty 定期的 修復 CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 2.2、3.4、8.2.1、
ams-nist-cis-vpc-flow-logs-enabled VPC 定期的 修復 CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A)、164.312(b)、PCI: 2.2,10.1,10.3.2,10.3.3,10.3.510.3.4,10.3.6;
ams-eks-secrets-encrypted EKS 定期的 インシデント CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA;
ams-eks-endpoint-no-public-access EKS 定期的 インシデント CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA;
ams-nist-cis-vpc-default-security-group-closed VPC 設定の変更 インシデント CIS: CIS.11、CIS.12、CIS.9、NIST-CSF: DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4、HIPAA: 164.312(e)(1)、PCI: 1.2、1.3、2.1、2.2、1.2.1、1.3.1、1.3.2、2.2.2
ams-nist-cis-iam-password-policy IAM 定期的 インシデント CIS: NA、NIST-CSF: PR.AC-1,PR.AC-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(3)(ii)(A)、164.308(a)(3)(ii)(B)、164.308(a)(4)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(a)(ii)、164.312(a)(1)、PCI: 7.1.2、7.1.3、7.2.1、7.2.2、7.2。
ams-nist-cis-iam-root-access-key-check IAM 定期的 インシデント CIS: CIS.16,CIS.4; NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3; HIPAA: 164.308(a)(3)(i)、164.308(a)(3)(ii)(A)、164.308(a)(a)、164.308(a)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(B)、164.308(a)(4)(ii)(C)、164.312(a)(1); PCI: 2.2,7.1.2,7.3.2,7.2.3.3
ams-nist-cis-iam-user-mfa-enabled IAM 定期的 インシデント CIS: CIS.16; NIST-CSF: PR.AC-1,PR.AC-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(3)(ii)(A)、164.308(a)(ii)(B)、164.308(a)(4)(i)、164.308(a)(4)(ii)(A)、164.308(a)(ii)(B)、164.308(a)(4)(ii)(C)、164.312(a)(1)、PCI: 2.2,7.1.2,7.1.3,7.2.2,7.2.2.
ams-nist-cis-restricted-ssh セキュリティグループ 設定の変更 インシデント CIS: CIS.16; NIST-CSF: PR.AC-1,PR.AC-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(B)、164.308(a)(4)(ii)(C)、164.312(a)(1)、PCI: 2.2,7.2.1,8.1.4;
ams-nist-cis-restricted-common-ports セキュリティグループ 設定の変更 インシデント CIS: CIS.11、CIS.12、CIS.9、NIST-CSF: DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(3)(ii)(B)、164.308(a)(4)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(ii)(B)、164.308(a)(4)(C)、164.312(e)(1)、PCI: 1.2,1.3.2,2.2
ams-nist-cis-s3-account-level-public-access-blocks S3 設定の変更 インシデント CIS: CIS.9、CIS.12、CIS.14、NIST-CSF: PR.AC-3、PR.AC-4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1)、PCI: 1.2,1.2.1,1.3,1.3.1,1.3.2,2.2.2;
ams-nist-cis-s3-bucket-public-read-prohibited S3 設定の変更 インシデント CIS: CIS.12、CIS.14、CIS.9、NIST-CSF: PR.AC-3、PR.AC-4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1)、PCI: 1.2,1.3,2.2,1.2.1.2.1.3.1,1.3.2,1.3.4,1.3.6,2.2.2.2;
ams-nist-cis-s3-bucket-public-write-prohibited S3 設定の変更 インシデント CIS: CIS.12、CIS.14、CIS.9、NIST-CSF: PR.AC-3、PR.AC-4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1)、PCI: 1.2,1.3,2.2,1.2.1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2.2
ams-nist-cis-s3-bucket-server-side-encryption-enabled S3 設定の変更 インシデント CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(c)(2)、164.312(e)(2)(ii)、PCI: 2.2、3.4、10.5、8.2.1、
ams-nist-cis-securityhub-enabled Security Hub 定期的 インシデント CIS: CIS.3、CIS.4、CIS.6、CIS.12、CIS.16、CIS.19、NIST-CSF: PR.DS-5、PR.PT-1、HIPAA: 164.312(b)、PCI: NA、
ams-nist-cis-ec2-instance-managed-by-systems-manager EC2 設定の変更 レポートを行う CIS: CIS.2,CIS.5、NIST-CSF: ID.AM-2,PR.IP-1、HIPAA: 164.308(a)(5)(ii)(B)、PCI: 2.4、
ams-nist-cis-cloudtrail-enabled CloudTrail 定期的 レポートを行う CIS: CIS.16,CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A)、164.308(a)(5)(ii)(C)、164.312(b); PCI: 10.1,10.2.1,10.2.310.2.2,10.2.410.2.5,10.2.6,10.2.7,10.3.110.3.2,10.3.3,10.3.4,,10.3.5,,,10.3.6
ams-nist-cis-access-keys-rotated IAM 定期的 レポートを行う CIS: CIS.16、NIST-CSF: PR.AC-1、HIPAA: 164.308(a)(4)(ii)(B)、PCI: 2.2、
ams-nist-cis-acm-certificate-expiration-check Certificate Manager 設定の変更 レポートを行う CIS: CIS.13,CIS.14; NIST-CSF: PR.AC-5,PR.PT-4; HIPAA: NA; PCI: 4.1;
ams-nist-cis-alb-http-to-https-redirection-check ALB 定期的 レポートを行う CIS: CIS.13,CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii)、PCI: 2.3,4.1,8.2.1;
ams-nist-cis-api-gw-cache-enabled-and-encrypted API Gateway 設定の変更 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4、
ams-nist-cis-api-gw-execution-logging-enabled API Gateway 設定の変更 レポートを行う CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1; HIPAA: 164.312(b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.510.3.6,10.5.4;
ams-nist-autoscaling-group-elb-healthcheck-required ELB 設定の変更 レポートを行う CIS: NA、NIST-CSF: PR.PT-1、PR.PT-5、HIPAA: 164.312(b)、PCI: 2.2、
ams-nist-cis-cloud-trail-encryption-enabled CloudTrail 定期的 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 2.2、3.4、10.5、
ams-nist-cis-cloud-trail-log-file-validation-enabled CloudTrail 定期的 レポートを行う CIS: CIS.6、NIST-CSF: PR.DS-6、HIPAA: 164.312(c)(1)、164.312(c)(2)、PCI: 2.2,10.5,11.5,10.5.2,10.5.5、
ams-nist-cis-cloudtrail-s3-dataevents-enabled CloudTrail 定期的 レポートを行う CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A)、164.312(b)、PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.5,10.3.210.3.1,10.3.3,10.3.4,,10.3.5,,10.3.6;
ams-nist-cis-cloudwatch-alarm-action-check CloudWatch 設定の変更 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: NA、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4、
ams-nist-cis-cloudwatch-log-group-encrypted CloudWatch 定期的 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: NA、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4、
ams-nist-cis-codebuild-project-envvar-awscred-check CodeBuild 設定の変更 レポートを行う CIS: CIS.18、NIST-CSF: PR.DS-5、HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、PCI: 8.2.1、
ams-nist-cis-codebuild-project-source-repo-url-check CodeBuild 設定の変更 レポートを行う CIS: CIS.18、NIST-CSF: PR.DS-5、HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、PCI: 8.2.1、
ams-nist-cis-db-instance-backup-enabled RDS 設定の変更 レポートを行う CIS: CIS.10、NIST-CSF: ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1、HIPAA: 164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B)、PCI: NA。
ams-nist-cis-dms-replication-not-public DMS 定期的 レポートを行う CIS: CIS.12、CIS.14、CIS.9、NIST-CSF: PR.AC-3、PR.AC-4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1)、PCI: 1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2;
ams-nist-dynamodb-autoscaling-enabled DynamoDB 定期的 レポートを行う CIS: NA、NIST-CSF: ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1、HIPAA: 164.308(a)(7)(i)、164.308(a)(7)(ii)(C)、PCI: NA、
ams-nist-cis-dynamodb-pitr-enabled DynamoDB 定期的 レポートを行う CIS: CIS.10、NIST-CSF: ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1、HIPAA: 164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B)、PCI: NA、
ams-nist-dynamodb-throughput-limit-check DynamoDB 定期的 レポートを行う CIS: NA、NIST-CSF: NA、HIPAA: 164.312(b)、PCI: NA、
ams-nist-ebs-optimized-instance EBS 設定の変更 レポートを行う CIS: NA、NIST-CSF: NA、HIPAA: 164.308(a)(7)(i)、PCI: NA、
ams-nist-cis-ebs-snapshot-public-restorable-check EBS 定期的 レポートを行う CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2;
ams-nist-ec2-instance-detailed-monitoring-enabled EC2 設定の変更 レポートを行う CIS: NA、NIST-CSF: DE.AE-1、PR.PT-1、HIPAA: 164.312(b)、PCI: NA、
ams-nist-cis-ec2-instance-no-public-ip EC2 設定の変更 レポートを行う CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2.2
ams-nist-cis-ec2-managedinstance-association-compliance-status-check EC2 設定の変更 レポートを行う CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2;
ams-nist-cis-ec2-managedinstance-patch-compliance-status-check EC2 設定の変更 レポートを行う CIS: CIS.2,CIS.5、NIST-CSF: ID.AM-2,PR.IP-1、HIPAA: 164.308(a)(5)(ii)(B)、PCI: 6.2、
ams-nist-cis-ec2-stopped-instance EC2 定期的 レポートを行う CIS: CIS.2; NIST-CSF: ID.AM-2,PR.IP-1; HIPAA: NA; PCI: NA;
ams-nist-cis-ec2-volume-inuse-check EC2 設定の変更 レポートを行う CIS: CIS.2; NIST-CSF: PR.IP-1; HIPAA: NA; PCI: NA;
ams-nist-cis-efs-encrypted-check EFS 定期的 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4,8.2.1、
ams-nist-cis-eip-attached EC2 設定の変更 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4,8.2.1、
ams-nist-cis-elasticache-redis-cluster-automatic-backup-check ElastiCache 定期的 レポートを行う CIS: CIS.10、NIST-CSF: ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1、HIPAA: 164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B)、PCI: NA、
ams-nist-cis-opensearch-encrypted-at-rest OpenSearch 定期的 レポートを行う CIS: CIS.14、CIS.13、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4,8.2.1、
ams-nist-cis-opensearch-in-vpc-only OpenSearch 定期的 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4,8.2.1、
ams-nist-cis-elb-acm-certificate-required Certificate Manager 設定の変更 レポートを行う CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2
ams-nist-elb-deletion-protection-enabled ELB 設定の変更 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-2、HIPAA: 164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii)、PCI: 4.1,8.2.1、
ams-nist-cis-elb-logging-enabled ELB 設定の変更 レポートを行う CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1; HIPAA: 164.312(b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.510.3.6,10.5.4;
ams-nist-cis-emr-kerberos-enabled EMR 定期的 レポートを行う CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1; HIPAA: 164.312(b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.510.3.6,10.5.4;
ams-nist-cis-emr-master-no-public-ip EMR 定期的 レポートを行う CIS: CIS.14,CIS.16; NIST-CSF: PR.AC-1,PR.AC-4,PR.AC-6; HIPAA: 164.308(a)(3)(i)、164.308(a)(3)(ii)(A)、164.308(a)(a)、164.308(a)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(B)、164.308(a)(4)(ii)(C)、164.312(a)(1); PCI: 7.2.1;
ams-nist-cis-encrypted-volumes EBS 設定の変更 レポートを行う CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2;
ams-nist-cis-guardduty-non-archived-findings GuardDuty 定期的 レポートを行う CIS: CIS.12,CIS.13,CIS.16,CIS.19,CIS.3,CIS.4,CIS.6,CIS.8; NIST-CSF: DE.AE-2,DE.AE-3,DE.CM-4,DE.DP-5,ID.RA-1,ID.RA-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(5)(ii)(C)、164.308(a)(6)(ii)、164.312(b)、PCI: 6.1,11.4,5.1.2;
ams-nist-iam-group-has-users-check IAM 設定の変更 レポートを行う CIS: NA、NIST-CSF: PR.AC-4、PR.AC-1、HIPAA: 164.308(a)(3)(i)、164.308(a)(3)(ii)(A)、164.308(a)(3)(ii)(B)、164.308(a)(4)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(a)(4)(ii)(C)、164.312(a)(1)、PCI: 7.1.2、7.1.3、7.2.1、7.2.2、7.2.2。
ams-nist-cis-iam-policy-no-statements-with-admin-access IAM 設定の変更 レポートを行う CIS: CIS.16、NIST-CSF: PR.AC-6、PR.AC-7、HIPAA: 164.308(a)(4)(ii)(B)、164.308(a)(5)(ii)(D)、164.312(d)、PCI: 8.2.3、8.2.4、8.2.5、
ams-nist-cis-iam-user-group-membership-check IAM 設定の変更 レポートを行う CIS: CIS.16,CIS.4; NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(B)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(a)(2)(i)、PCI: 2.2,7.1.2,7.2.1,8.1.1;
ams-nist-cis-iam-user-no-policies-check IAM 設定の変更 レポートを行う CIS: CIS.16、NIST-CSF: PR.AC-1、PR.AC-7、HIPAA: 164.308(a)(4)(ii)(B)、164.312(d)、PCI: 8.3、
ams-nist-cis-iam-user-unused-credentials-check IAM 定期的 レポートを行う CIS: CIS.16; NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3; HIPAA: 164.308(a)(3)(i)、164.308(a)(3)(ii)(A)、164.308(a)(3)(ii)(B)、164.308(a)(4)(i)、164.308(a)(4)(ii)(A)、164.308(a)(ii)(B)、164.308(a)(a)(4)(ii)、C)、164.312(a)(1); PCI: 2.2,7.1.2,7.1.3,7.2
VPC 内の ams-nist-cis-ec2-instances instances-in-vpc EC2 設定の変更 レポートを行う CIS: CIS.11、CIS.12、CIS.9、NIST-CSF: DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(3)(ii)(B)、164.308(a)(4)(i)、164.308(a)(4)(ii)(A)、164.308(a)(ii)(4)(ii)(B)、164.308(a)(4)(C)、164.312(e)(1)、PCI: 1.2,1.3.2,2.2
ams-nist-cis-internet-gateway-authorized-vpc-only インターネットゲートウェイ 定期的 レポートを行う CIS: CIS.9,CIS.12; NIST-CSF: NA; HIPAA: NA; PCI: NA;
ams-nist-cis-kms-cmk-not-scheduled-for-deletion KMS 定期的 レポートを行う CIS: CIS.13,CIS.14; NIST-CSF: PR.DS-1; HIPAA: NA; PCI: 3.5,3.6;
ams-nist-lambda-concurrency-check Lambda 設定の変更 レポートを行う CIS: NA、NIST-CSF: NA、HIPAA: 164.312(b)、PCI: NA、
ams-nist-lambda-dlq-check Lambda 設定の変更 レポートを行う CIS: NA、NIST-CSF: NA、HIPAA: 164.312(b)、PCI: NA、
ams-nist-cis-lambda-function-public-access-prohibited Lambda 設定の変更 レポートを行う CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,2.2.2;
ams-nist-cis-lambda-inside-vpc Lambda 設定の変更 レポートを行う CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,2.2.2;
ams-nist-cis-mfa-enabled-for-iam-console-access IAM 定期的 レポートを行う CIS: CIS.16、NIST-CSF: PR.AC-7、HIPAA: 164.312(d)、PCI: 2.2,8.3、
ams-nist-cis-multi-region-cloudtrail-enabled CloudTrail 定期的 レポートを行う CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A)、164.312(b); PCI: 2.2,10.1,10.2.1,10.2.2,,10.2.3,10.2.510.2.4,10.2.6,10.2.7,10.3.1,10.3.2,,10.3.310.3.4,10.3.5,,,,10.3.6,;
ams-nist-rds-enhanced-monitoring-enabled RDS 設定の変更 レポートを行う CIS: NA、NIST-CSF: PR.PT-1、HIPAA: 164.312(b)、PCI: NA、
ams-nist-cis-rds-instance-public-access-check RDS 設定の変更 レポートを行う CIS: CIS.12、CIS.14、CIS.9、NIST-CSF: PR.AC-3、PR.AC-4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1)、PCI: 1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.4,1.3.6,2.2.2.2.2
ams-nist-rds-multi-az-support RDS 設定の変更 レポートを行う CIS: NA、NIST-CSF: ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1、HIPAA: 164.308(a)(7)(i)、164.308(a)(7)(ii)(C)、PCI: NA、
ams-nist-cis-rds-snapshots-public-prohibited RDS 設定の変更 レポートを行う CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2;
ams-nist-cis-rds-storage-encrypted RDS 設定の変更 レポートを行う CIS: CIS.13,CIS.5,CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-1,PR.PT-1; HIPAA: 164.312(a)(2)(iv)、164.312(b)、164.312(e)(2)(ii); PCI: 3.4,10.1,10.2.1,10.2.3,10.2.2,10.2.410.2.5,10.3.1,,,10.3.610.3.210.3.310.3.410.3.5,,8.2.1;
ams-nist-cis-redshift-cluster-configuration-check RedShift 設定の変更 レポートを行う CIS: CIS.6、CIS.13、CIS.5、NIST-CSF: DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1、HIPAA: 164.312(a)(2)(iv)、164.312(b)、164.312(e)(2)(ii)、PCI: 3.4、8.2.1、10.1、10.2.1、10.2.210.2.3、10.2.4、10.2.510.3.110.3.2、10.3.3、10.3.4、、、10.3.5、、10.3.6
ams-nist-cis-redshift-cluster-public-access-check RedShift 設定の変更 レポートを行う CIS: CIS.12、CIS.14、CIS.9、NIST-CSF: PR.AC-3、PR.AC-4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4、HIPAA: 164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1)、PCI: 1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2;
ams-nist-cis-redshift-require-tls-ssl RedShift 定期的 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-2、HIPAA: 164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii)、PCI: 2.3,4.1、
ams-nist-cis-root-account-hardware-mfa-enabled IAM 定期的 レポートを行う CIS: CIS.16、CIS.4、NIST-CSF: PR.AC-7、HIPAA: 164.312(d)、PCI: 2.2,8.3、
ams-nist-cis-root-account-mfa-enabled IAM 定期的 レポートを行う CIS: CIS.16、CIS.4、NIST-CSF: PR.AC-7、HIPAA: 164.312(d)、PCI: 2.2,8.3、
ams-nist-cis-s3-bucket-default-lock-enabled S3 設定の変更 レポートを行う CIS: CIS.14,CIS.13; NIST-CSF: ID.BE-5,PR.PT-5,RC.RP-1; HIPAA: NA; PCI: NA;
ams-nist-cis-s3-bucket-logging-enabled S3 設定の変更 レポートを行う CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A)、164.312(b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.5,10.3.110.2.7,10.3.2,,10.3.3,,10.3.4,,10.3.5,10.3.6;
ams-nist-cis-s3-bucket-replication-enabled S3 設定の変更 レポートを行う CIS: CIS.10、NIST-CSF: ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1、HIPAA: 164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B)、PCI: 2.2,10.5.3。
ams-nist-cis-s3-bucket-ssl-requests-only S3 設定の変更 レポートを行う CIS: CIS.13,CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312(a)(2)(iv)、164.312(c)(2)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii)、PCI: 2.2,4.1,8.2.1;
ams-nist-cis-s3-bucket-versioning-enabled S3 定期的 レポートを行う CIS: CIS.10、NIST-CSF: ID.BE-5、PR.DS-4、PR.DS-6、PR.IP-4、PR.PT-5、RC.RP-1、HIPAA: 164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B)、164.312(c)(1)、164.312(c)(2)、PCI: 10.5.3、
ams-nist-cis-sagemaker-endpoint-configuration-kms-key-configured SageMaker 定期的 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4,8.2.1、
ams-nist-cis-sagemaker-notebook-instance-kms-key-configured SageMaker 定期的 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4,8.2.1、
ams-nist-cis-sagemaker-notebook-no-direct-internet-access SageMaker 定期的 レポートを行う CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1)、164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2
ams-nist-cis-secretsmanager-rotation-enabled-check Secrets Manager 設定の変更 レポートを行う CIS: CIS.16、NIST-CSF: PR.AC-1、HIPAA: 164.308(a)(4)(ii)(B)、PCI: NA、
ams-nist-cis-secretsmanager-scheduled-rotation-success-check Secrets Manager 設定の変更 レポートを行う CIS: CIS.16、NIST-CSF: PR.AC-1、HIPAA: 164.308(a)(4)(ii)(B)、PCI: NA、
ams-nist-cis-sns-encrypted-kms SNS 設定の変更 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 8.2.1、
ams-nist-cis-vpc-sg-open-only-to-authorized-ports VPC 設定の変更 レポートを行う CIS: CIS.11、CIS.12、CIS.9、NIST-CSF: DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4、HIPAA: 164.312(e)(1)、PCI: 1.2、1.3、1.2.1、1.3.1、1.3.2、2.2.2。
ams-nist-vpc-vpn-2-tunnels-up VPC 設定の変更 レポートを行う CIS: NA、NIST-CSF: ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1、HIPAA: 164.308 (a)(7)(i)、PCI: NA、
ams-cis-ec2-ebs-encryption-by-default EC2 定期的 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 2.2、3.4、8.2.1、
ams-cis-rds-snapshot-encrypted RDS 設定の変更 レポートを行う CIS: CIS.13、CIS.14、NIST-CSF: PR.DS-1、HIPAA: 164.312(a)(2)(iv)、164.312(e)(2)(ii)、PCI: 3.4,8.2.1、
ams-cis-redshift-cluster-maintenancesettings-check RedShift 設定の変更 レポートを行う CIS: CIS.5、NIST-CSF: PR.DS-4、PR.IP-1、PR.IP-4、HIPAA: 164.308(a)(5)(ii)(A)、164.308(a)(7)(ii)(A)、PCI: 6.2、

Accelerate での違反への対応

すべての Config ルール違反が設定レポートに表示されます。これはユニバーサルレスポンスです。ルールの修復カテゴリ (重要度) によっては、AMS が追加のアクションを実行する場合があります。詳細については、次の表を参照してください。特定のルールのアクションコードをカスタマイズする方法の詳細については、「」を参照してくださいカスタマイズされた検出結果のレスポンス

修復アクション

アクションコード AMS アクション
Report

  1. を Config レポートに追加する

Incident

  1. を Config レポートに追加する

  2. Accelerate の自動インシデントレポート

Remediate

  1. を Config レポートに追加する

  2. Accelerate の自動インシデントレポート

  3. Accelerate の自動修復

追加のヘルプのリクエスト

注記

AMS は、修復カテゴリに関係なく、違反を修復できます。ヘルプをリクエストするには、サービスリクエストを送信し、AMS が修正するリソースを「AMS 設定ルールの修正の一環として、非苦情リソース RESOURCE_ARNS_OR_IDs リソース ARNs」などのコメントで指定し、違反を修正するために必要な入力を追加します。 IDs

AMS Accelerate には、非準拠のリソースの修復に役立つ AWS Systems Manager 自動化ドキュメントとランブックのライブラリがあります。

を Config レポートに追加する

AMS は、アカウント内のすべてのルールとリソースのコンプライアンスステータスを追跡する Config レポートを生成します。CSDM にレポートをリクエストできます。Config コンソール、 AWS CLI、または AWS AWS Config API からコンプライアンスステータスを確認することもできます。Config レポートには以下が含まれます。

  • 潜在的な脅威や設定ミスを検出するための、環境内の上位の非準拠リソース

  • 時間の経過に伴うリソースと設定ルールのコンプライアンス

  • Config ルールの説明、ルールの重要度、および非準拠リソースを修正するための推奨される修復手順

リソースが非準拠状態になると、Config レポートでリソースステータス (およびルールステータス) が非準拠になります。ルールが Config レポート専用修復カテゴリに属している場合、デフォルトでは AMS はそれ以上のアクションを実行しません。サービスリクエストをいつでも作成して、AMS に追加のヘルプや修復をリクエストできます。

詳細については、AWS 「Config Reporting」を参照してください。

Accelerate の自動インシデントレポート

やや重大なルール違反の場合、AMS は自動的にインシデントレポートを作成し、リソースが非準拠状態になったことを通知し、実行するアクションを尋ねます。インシデントに対応するときは、次のオプションがあります。

  • インシデントにリストされている非準拠リソースを AMS で修復するようリクエストします。次に、非準拠のリソースを修復し、基盤となるインシデントが解決されたら通知します。

  • 非準拠の項目は、コンソールまたは自動デプロイシステム (CI/CD Pipeline テンプレートの更新など) で手動で解決できます。その後、インシデントを解決できます。非準拠リソースはルールのスケジュールに従って再評価され、リソースが非準拠として評価された場合、新しいインシデントレポートが作成されます。

  • 非準拠のリソースを解決せず、単にインシデントを解決することを選択できます。後でリソースの設定を更新すると、 AWS Config は再評価をトリガーし、そのリソースのコンプライアンス違反を評価するように再度警告されます。

Accelerate の自動修復

最も重要なルールは、自動修復カテゴリに属します。これらのルールに従わないと、アカウントのセキュリティと可用性に大きな影響を与える可能性があります。リソースが次のいずれかのルールに違反した場合:

  1. AMS はインシデントレポートで自動的に通知します。

  2. AMS は、自動 SSM ドキュメントを使用して自動修復を開始します。

  3. AMS は、自動修復の成功または失敗でインシデントレポートを更新します。

  4. 自動修復が失敗した場合、AMS エンジニアは問題を調査します。

Accelerate でのルール例外の作成

AWS Config ルール リソース例外機能を使用すると、特定のルールの特定の非準拠リソースのレポートを抑制することができます。

注記

除外されたリソースは、引き続き Config Service AWS コンソールで非準拠として表示されます。除外されたリソースには、Config レポート (resource_exception:True) に特別なフラグが表示されます。CSDMs は、レポートの生成時に、その列に従ってそれらのリソースを除外できます。

準拠していないことがわかっているリソースがある場合は、Config レポートで特定の設定ルールの特定のリソースを削除できます。これを実行するには:

レポートから除外される設定ルールとリソースのリストとともに、アカウントに対して Accelerate のサービスリクエストを送信します。明示的なビジネス上の根拠を提供する必要があります (たとえば、resource_name_1resource_name_2 はバックアップされないため、バックアップされないことを報告する必要はありません)。Accelerate サービスリクエストの送信については、「」を参照してくださいAccelerate でのサービスリクエストの作成

リクエストに次の入力を貼り付け (図に示すように、すべての必須フィールドを含む個別のブロックをリソースごとに追加)、送信します。

[
    {
        "resource_name": "resource_name_1",
        "config_rule_name": "config_rule_name_1",
        "business_justification": "REASON_TO_EXEMPT_RESOURCE",
        "resource_type": "resource_type"
    },
    {
        "resource_name": "resource_name_2",
        "config_rule_name": "config_rule_name_2",
        "business_justification": "REASON_TO_EXEMPT_RESOURCE",
        "resource_type": "resource_type"
    }
]

Accelerate の AWS Config コストを削減する

オプションを使用してAWS::EC2::Instanceリソースタイプを定期的に記録することで、AWS Config のコストを削減できます。定期的な記録では、リソースの最新の設定変更を 24 時間に 1 回キャプチャし、配信される変更の数を減らします。有効にすると、 は 24 時間の終了時にリソースの最新の設定 AWS Config のみを記録します。これにより、継続的なモニタリングを必要としない特定の運用計画、コンプライアンス、監査のユースケースに合わせて設定データをカスタマイズできます。この変更は、エフェメラルアーキテクチャに依存するアプリケーションがある場合にのみ推奨されます。つまり、インスタンスの数を常にスケールアップまたはスケールダウンします。

AWS::EC2::Instance リソースタイプの定期的な記録をオプトインするには、AMS 配信チームにお問い合わせください。