View a markdown version of this page

トラブルシューティング - AWS での自動化されたセキュリティ対応
PutS3BucketPolicyDeny が失敗するこのソリューションを無効にする方法

トラブルシューティング

既知の問題解決には、既知のエラーを軽減するための手順が記載されています。これらの手順で問題が解決しない場合は、「AWS サポートにお問い合わせる」に、このソリューションに関する AWS サポートのケースを開く方法が記載されています。

PutS3BucketPolicyDeny が失敗する

関連コントロール: AWS FSBP v1.0.0 S3.6、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

問題: PutS3BucketPolicyDeny で次のエラーが表示されます。

Unable to create an explicit deny statement for {bucket_name}.

ターゲットバケットのすべてのポリシーのプリンシパルが「*」の場合、ソリューションはすべてのプリンシパルのすべてのバケットアクションをブロックするため、ターゲットバケットに拒否ポリシーを追加できません。

解決策: バケットポリシーを修正して、「*」プリンシパルを使用する代わりに特定のアカウントにアクションを許可し、拒否されたアクションを制限します。

このソリューションを無効にする方法

インシデントが発生した場合、インフラストラクチャを削除せずにソリューションを無効にする必要がある場合があります。これらのシナリオでは、ソリューション内のさまざまなコンポーネントを無効にする方法を詳しく説明します。

シナリオ 1: 単一のコントロールに対する自動修復を無効にする

  1. 管理者アカウントで、AWS CloudFormation コンソールに移動します。

  2. 管理者スタックを見つけて、[出力] タブを表示します。

  3. RemediationConfigurationDynamoDBTable 出力の値をコピーします。

  4. DynamoDB コンソールに移動し、修復設定テーブルを開きます。

  5. [Explore Table Items] (テーブル項目を探す) を選択します。

  6. [項目のスキャンまたはクエリ] で、[クエリ] を選択します。

  7. [パーティションキー: controlId] フィールドにコントロール ID (例: Lambda.1) を入力し、[実行] をクリックします。

  8. 返された項目を選択し、[アクション] > [項目の編集] の順にクリックします。

  9. automatedRemediationEnabled 属性値を [False] に変更します。

  10. [保存して閉じる] をクリックします。

シナリオ 2: すべてのコントロールに対する自動修復を無効にする

  1. シナリオ 1 のステップ 1~5 に従って、修復設定テーブル項目にアクセスします。

  2. [項目のスキャンまたはクエリ] で、[スキャン] を選択してすべてのコントロールを表示します。

  3. automatedRemediationEnabled[True] に設定されているコントロールごとに、項目を選択し、[アクション] > [項目の編集] の順にクリックします。

  4. automatedRemediationEnabled 属性値を [False] に変更し、[保存して閉じる] をクリックします。

  5. 無効にするすべてのコントロールに対して繰り返します。

シナリオ 3: アカウントに対する手動修復を無効にする。

  1. EventBridge コンソールに移動します。

  2. サイドバーにある [ルール] を選択します。

  3. [デフォルト] のイベントバスを選択し、Remediate_with_ASR_CustomAction を検索します。

  4. ルールを選択して、[無効化] ボタンをクリックします。