翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティとコンプライアンス
セキュリティとコンプライアンスは、AMS Advanced とお客様との間の責任共有です。AMS Advanced Direct Change モードは、この責任共有を変更しません。
直接変更モードのセキュリティ
AMS Advanced は、規範的なランディングゾーン、変更管理システム、アクセス管理で追加の値を提供します。Direct Change モードを使用する場合、この責任モデルは変更されません。ただし、追加のリスクに注意する必要があります。
Direct Change Mode の「Update」ロール (「」を参照直接変更モードの IAM ロールとポリシー) は、エンティティがアクセスできるようにする昇格されたアクセス許可を提供し、アカウント内の AMS がサポートするサービスのインフラストラクチャリソースを変更します。アクセス許可が引き上げられると、リソース、サービス、アクションに応じてさまざまなリスクが存在します。特に、監視、ミス、または内部プロセスとコントロールフレームワークへの準拠の欠如が原因で誤った変更が行われた状況では、リスクが異なります。
AMS 技術標準に従って、以下のリスクが特定され、次のようにレコメンデーションが行われます。AMS 技術標準の詳細については、「」を参照してください AWS Artifact。アクセスするには AWS Artifact、CSDM に連絡して手順を確認するか、「 の開始方法 AWS Artifact
AMS-STD-001: タグ付け
| [Standards] (標準) | 壊れていますか? | リスク | 推奨事項 |
|---|---|---|---|
| すべての AMS 所有リソースには、次のキーと値のペアが必要です | はい。CloudFormation、CloudTrail、EFS、OpenSearch、CloudWatch Logs、SQS、SSM、タグ付け API のブレーク - これらのサービスは AMS 名前空間のタグ付けを制限する 次の表 AMS-STD-003 の標準では、AppId、Environment、AppName は変更できますが、AMS 所有のリソースは変更できません。IAM アクセス許可では達成できません。 |
AMS リソースのタグ付けが正しくないと、リソースのレポート、アラート、パッチ適用オペレーションに AMS 側で悪影響が及ぶ可能性があります。 | AMS チーム以外のすべてのユーザーの AMS のデフォルトのタグ付け要件を変更するには、アクセスを復元する必要があります。 |
上記のタグ以外のすべての AMS 所有タグには、upper/lower/mixMC*の AMS*や などのプレフィックスが必要です。 | |||
| AMS 所有スタックのタグは、変更リクエストに基づいて削除しないでください。 | はい。CloudFormation は、AMS 名前空間のタグを制限するaws:TagsKey条件をサポートしていません。 | ||
| 次の表 AMS-AMS-STD-002 タグの命名規則を使用することは許可されていません。 | はい。CloudFormation、CloudTrail、Amazon Elastic File System (EFS)、OpenSearch、CloudWatch Logs、Amazon Simple Queue Service (SQS)、Amazon EC2 Systems Manager (SSM)、Tagging API のブレーク。これらのサービスは、AMS 名前空間のタグ付けを制限するaws:TagsKey条件をサポートしていません。 |
AMS-STD-002: Identity and Access Management (IAM)
| [Standards] (標準) | 壊れていますか? | リスク | 推奨事項 |
|---|---|---|---|
| 4.7 変更管理プロセス (RFC) をバイパスするアクションは、インスタンスの起動または停止、S3 バケットまたは RDS インスタンスの作成などを許可してはいけません。デベロッパーモードアカウントとセルフサービスプロビジョンドモードサービス (SSPS) は、アクションが割り当てられたロールの境界内で実行される限り、除外されます。 | はい。セルフサービスアクションの目的は、AMS RFC システムをバイパスしてアクションを実行することです。 |
セキュアアクセスモデルは AMS の主要な技術的側面であり、コンソールまたはプログラムによるアクセス用の IAM ユーザーがこのアクセスコントロールを回避します。IAM ユーザーのアクセスは、AMS 変更管理によってモニタリングされません。アクセスは CloudTrail にのみ記録されます。 | IAM ユーザーには、最小特権とneed-to-knowことに基づいて、時間制限があり、アクセス許可が付与されている必要があります。 |
AMS-STD-003: ネットワークセキュリティ
| [Standards] (標準) | 壊れていますか? | リスク | 推奨事項 |
|---|---|---|---|
| S2。EC2 インスタンスの Elastic IP は、正式なリスク承諾契約、または内部チームによる有効なユースケースでのみ使用する必要があります。 | はい。セルフサービスアクションを使用すると、Elastic IP アドレス (EIP) の関連付けと関連付け解除を行うことができます。 |
Elastic IP をインスタンスに追加すると、その IP はインターネットに公開されます。これにより、情報開示や不正なアクティビティのリスクが高まります。 | セキュリティグループを介してそのインスタンスへの不要なトラフィックをブロックし、セキュリティグループがインスタンスにアタッチされていることを確認し、ビジネス上の理由で必要な場合にのみトラフィックを許可するようにします。 |
| S14。同じ顧客に属するアカウント間の VPC ピアリングとエンドポイント接続を許可できます。 | はい。IAM ポリシーでは実行できません。 |
AMS アカウントから出るトラフィックは、アカウントの境界から出るとモニタリングされません。 | 所有している AMS アカウントとのみピア接続することをお勧めします。ユースケースでこれが必要な場合は、セキュリティグループとルートテーブルを使用して、関連する接続を介して出力できるトラフィック範囲、リソース、タイプを制限します。 |
| AMS ベース AMIs は、AMS が管理するアカウントとアンマネージドアカウントの間で共有できます。ただし、それらが同じ AWS 組織によって所有されていることを確認できます。 | AMIs機密データが含まれており、意図しないアカウントに公開される可能性があります。 | 組織が所有するアカウントのみと AMIs を共有するか、組織外で共有する前にユースケースとアカウント情報を検証します。 |
AMS-STD-007: ログ記録
| [Standards] (標準) | 壊れていますか? | リスク | 推奨事項 |
|---|---|---|---|
| 19. ログは、ある AMS アカウントから同じ顧客の別の AMS アカウントに転送できます。 | はい。同じ組織内の顧客アカウントの検証による顧客ログの潜在的なセキュリティ低下は、IAM ポリシーでは達成できません。 |
ログには機密データが含まれており、意図しないアカウントに公開される可能性があります。 | AWS 組織によって管理されているアカウントのみとログを共有するか、組織外と共有する前にユースケースとアカウント情報を検証します。これは複数の方法で検証できます。クラウドサービスデリバリーマネージャー (CSDM) に確認してください。 |
| 20。ログは、AMS 以外のアカウントが同じ AMS 顧客によって所有されている (同じ AWS Organizations アカウントにあることを確認するか、E メールドメインを顧客の会社名と PAYER リンクアカウントと照合する) 場合にのみ、内部ツールを使用して AMS から非 AMS アカウントに転送できます。 |
内部認可および認証チームと協力して、それに応じて Direct Change モードロールへのアクセス許可を制御します。
直接変更モードのコンプライアンス
Direct Change モードは、本番ワークロードと非本番ワークロードの両方と互換性があります。コンプライアンス標準 (PHI、HIPAA、PCI など) を確実に順守し、Direct Change モードの使用が内部管理フレームワークと標準に準拠していることを確認するのはお客様の責任です。
