기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
큐레이션SCPs 및 구성 규칙
AMS Advanced에 대해 큐레이션된 SCPs 및 구성 규칙.
서비스 제어 정책(SCPs): 제공된 SCPs는 기본 AMS 정책에 추가됩니다.
이러한 라이브러리 컨트롤을 기본 컨트롤과 함께 사용하여 특정 보안 요구 사항을 충족할 수 있습니다.
구성 규칙: AMS는 기본 AMS 구성 규칙(기본 규칙은 AMS 아티팩트 참조) 외에도 적합성 팩( AWS Config 안내서의 적합성 팩 참조)을 적용할 것을 권장합니다. 적합성 팩은 대부분의 규정 준수 요구 사항을 다루며 AWS는 이를 정기적으로 업데이트합니다.
여기에 나열된 규칙을 사용하여 적합성 팩에서 다루지 않는 사용 사례별 격차를 해결할 수 있습니다.
참고
AMS 기본 규칙 및 적합성 팩이 시간이 지남에 따라 업데이트되면 이러한 규칙이 중복될 수 있습니다.
AMS는 일반적으로 중복 Config 규칙을 정기적으로 정리할 것을 권장합니다.
AMS Advanced의 경우 Config 규칙은 out-of-band 변경을 방지하기 위해 자동 문제 해결(AWS Config 규칙에 의한 규정 미준수 AWS 리소스 문제 해결 참조)을 사용해서는 안 됩니다.
SCP-AMS-001: EBS 생성 제한
암호화가 활성화되지 않은 경우 EBS 볼륨 생성을 방지합니다.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:CreateVolume", "Resource": "*", "Effect": "Deny" }
SCP-AMS-002: EC2 시작 제한
EBS 볼륨이 암호화되지 않은 경우 EC2 인스턴스가 시작되지 않도록 합니다. 여기에는 암호화되지 않은 AMIs에서 EC2 시작을 거부하는 것이 포함됩니다.이 SCP는 루트 볼륨에도 적용되기 때문입니다.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:volume/*", "Effect": "Deny" }
SCP-ADV-001: RFC 제출 제한
기본 AMS 역할이 VPC RFCs를 제출하지 못하도록 제한합니다. 이는 페더레이션 역할에 더 세분화된 권한을 적용하려는 경우에 유용합니다.
예를 들어 VPC AWSManagedServicesChangeManagement Role 생성 및 삭제, 추가 서브넷 생성, 애플리케이션 계정 오프보딩, SAML 자격 증명 공급자 업데이트 또는 삭제를 허용하는 RFC를 제외한 대부분의 사용 가능한 RFC를 기본값으로 제출할 수 있습니다. RFCs
SCP-AMS-003: AMS에서 EC2 또는 RDS 생성 제한
AMS 기본 AMS Backup IAM 역할이 그렇게 하도록 허용하면서 특정 태그가 없는 Amazon EC2 및 RDS 인스턴스의 생성을 방지합니다. 이는 재해 복구 또는 DR에 필요합니다.
{ "Sid": "DenyRunInstanceWithNoOrganizationTag", "Effect": "Deny", "Action": [ "ec2:RunInstances", "rds:CreateDBInstance" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:rds:*:*:db:*" ], "Condition": { "Null": { "aws:RequestTag/organization": "true" }, "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::<Account_Number>:role/ams-backup-iam-role" ] } } }
SCP-AMS-004: S3 업로드 제한
암호화되지 않은 S3 객체의 업로드를 방지합니다.
{ "Sid": "DenyUnencryptedS3Uploads", "Effect": "Deny", "Action": "s3:PutObject", "Resource": "*", "Condition": { "StringNotLike": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }, "Null": { "s3:x-amz-server-side-encryption": "false" } } } ] }
SCP-AMS-005: API 및 콘솔 액세스 제한
확인된 고객 InfoSec에 따라 알려진 잘못된 IP 주소에서 오는 요청에 대한 AWS 콘솔 및 API 액세스를 방지합니다.
SCP-AMS-006: IAM 엔터티가 조직에서 멤버 계정을 제거하지 못하도록 방지
AWS Identity and Access Management 엔터티가 조직에서 멤버 계정을 제거하지 못하도록 합니다.
{ "Effect": "Deny", "Action": ["organizations:LeaveOrganization"], "Resource": ["*"] }
SCP-AMS-007: 조직 외부의 계정에 리소스 공유 방지
AWS 조직 외부의 외부 계정과 리소스 공유 방지
{ "Effect": "Deny", "Action": [ "ram:*" ], "Resource": [ "*" ], "Condition": { "Bool": { "ram:AllowsExternalPrincipals": "true" } } }, { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } }
SCP-AMS-008: 조직 또는 조직 단위(OUs)와의 공유 방지
조직에 있는 계정 및/또는 OU와의 리소스 공유를 방지합니다.
{ "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}", "arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}" ] } } }
SCP-AMS-009: 사용자가 리소스 공유 초대를 수락하지 못하도록 방지
멤버 계정이 리소스 공유에 가입 AWS RAM 하기 위한의 초대를 수락하지 못하도록 합니다. 이 API는 조건을 지원하지 않으며 외부 계정의 공유만 방지합니다.
{ "Effect": "Deny", "Action": ["ram:AcceptResourceShareInvitation"], "Resource": ["*"] }
SCP-AMS-010: 계정 리전 활성화 및 비활성화 작업 방지
AWS 계정에 대해 새 AWS 리전을 활성화하거나 비활성화하지 마십시오.
{ "Effect": "Deny", "Action": [ "account:EnableRegion", "account:DisableRegion" ], "Resource": "*" }
SCP-AMS-011: 결제 수정 작업 방지
결제 및 결제 구성에 대한 수정을 방지합니다.
{ "Effect": "Deny", "Action": [ "aws-portal:ModifyBilling", "aws-portal:ModifyAccount", "aws-portal:ModifyPaymentMethods" ], "Resource": "*" }
SCP-AMS-012: 특정 CloudTrails 대한 삭제 또는 수정 방지
특정 AWS CloudTrail 추적에 대한 수정을 방지합니다.
{ "Effect": "Deny", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:PutInsightSelectors", "cloudtrail:UpdateEventDataStore", "cloudtrail:UpdateTrail", "cloudtrail:StopLogging" ], "Resource": [ "arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}" ] }
SCP-AMS-013: 기본 EBS 암호화 비활성화 방지
기본 Amazon EBS 암호화의 비활성화를 방지합니다.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
SCP-AMS-014: 기본 VPC 및 서브넷 생성 방지
기본 Amazon VPC 및 서브넷의 생성을 방지합니다.
{ "Effect": "Deny", "Action": [ "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc" ], "Resource": "*" }
SCP-AMS-015: GuardDuty 비활성화 및 수정 방지
Amazon GuardDuty가 수정되거나 비활성화되지 않도록 합니다.
{ "Effect": "Deny", "Action": [ "guardduty:AcceptInvitation", "guardduty:ArchiveFindings", "guardduty:CreateDetector", "guardduty:CreateFilter", "guardduty:CreateIPSet", "guardduty:CreateMembers", "guardduty:CreatePublishingDestination", "guardduty:CreateSampleFindings", "guardduty:CreateThreatIntelSet", "guardduty:DeclineInvitations", "guardduty:DeleteDetector", "guardduty:DeleteFilter", "guardduty:DeleteInvitations", "guardduty:DeleteIPSet", "guardduty:DeleteMembers", "guardduty:DeletePublishingDestination", "guardduty:DeleteThreatIntelSet", "guardduty:DisableOrganizationAdminAccount", "guardduty:DisassociateFromMasterAccount", "guardduty:DisassociateMembers", "guardduty:InviteMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:TagResource", "guardduty:UnarchiveFindings", "guardduty:UntagResource", "guardduty:UpdateDetector", "guardduty:UpdateFilter", "guardduty:UpdateFindingsFeedback", "guardduty:UpdateIPSet", "guardduty:UpdateMalwareScanSettings", "guardduty:UpdateMemberDetectors", "guardduty:UpdateOrganizationConfiguration", "guardduty:UpdatePublishingDestination", "guardduty:UpdateThreatIntelSet" ], "Resource": "*" }
SCP-AMS-016: 루트 사용자 활동 방지
루트 사용자가 작업을 수행하지 못하도록 합니다.
{ "Action": "*", "Resource": "*", "Effect": "Deny", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } }
SCP-AMS-017: 루트 사용자에 대한 액세스 키 생성 방지
루트 사용자의 액세스 키 생성을 방지합니다.
{ "Effect": "Deny", "Action": "iam:CreateAccessKey", "Resource": "arn:aws:iam::*:root" }
SCP-AMS-018: S3 계정 퍼블릭 액세스 블록 비활성화 방지
Amazon S3 계정 퍼블릭 액세스 블록의 비활성화를 방지합니다. 이렇게 하면 계정의 버킷이 공개되지 않습니다.
{ "Effect": "Deny", "Action": "s3:PutAccountPublicAccessBlock", "Resource": "*" }
SCP-AMS-019: AWS Config 비활성화 또는 Config 규칙 수정 방지
AWS Config 규칙 비활성화 또는 수정을 방지합니다.
{ "Effect": "Deny", "Action": [ "config:DeleteConfigRule", "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteEvaluationResults", "config:StopConfigurationRecorder" ], "Resource": "*" }
SCP-AMS-020: 모든 IAM 작업 방지
모든 IAM 작업을 방지합니다.
{ "Effect": "Deny", "Action": [ "iam:*" ], "Resource": "*" }
SCP-AMS-021: CloudWatch Logs 그룹 및 스트림 삭제 방지
Amazon CloudWatch Logs 그룹 및 스트림 삭제를 방지합니다.
{ "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": "*" }
SCP-AMS-022: Glacier 삭제 방지
Amazon Glacier 삭제를 방지합니다.
{ "Effect": "Deny", "Action": [ "glacier:DeleteArchive", "glacier:DeleteVault" ], "Resource": "*" }
SCP-AMS-023: IAM Access Analyzer 삭제 방지
IAM Access Analyzer의 삭제를 방지합니다.
{ "Action": [ "access-analyzer:DeleteAnalyzer" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-024: Security Hub 수정 방지
삭제를 방지합니다 AWS Security Hub.
{ "Action": [ "securityhub:DeleteInvitations", "securityhub:DisableSecurityHub", "securityhub:DisassociateFromMasterAccount", "securityhub:DeleteMembers", "securityhub:DisassociateMembers" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-025: 디렉터리 서비스에서 삭제 방지
아래의 리소스 삭제를 방지합니다 Directory Service.
{ "Action": [ "ds:DeleteDirectory", "ds:DeleteLogSubscription", "ds:DeleteSnapshot", "ds:DeleteTrust", "ds:DeregisterCertificate", "ds:DeregisterEventTopic", "ds:DisableLDAPS", "ds:DisableRadius", "ds:DisableSso", "ds:UnshareDirectory" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-026: 거부된 서비스 사용 방지
거부된 서비스의 사용을 방지합니다.
참고
service1 및 service2를 서비스 이름으로 바꿉니다. access-analyzer 또는 IAM의 예입니다.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"] }
SCP-AMS-027: 특정 리전에서 거부된 서비스 사용 방지
특정 AWS 리전에서 거부된 서비스의 사용을 방지합니다.
참고
service1 및 service2를 서비스 이름으로 바꿉니다. access-analyzer 또는 IAM의 예입니다.
region1 및 region2를 서비스 이름으로 바꿉니다. us-west-2 또는 use-east-1의 예입니다.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"], "Condition": { "StringEquals": { "aws:RequestedRegion": [ "region1", "region2" ] } } }
SCP-AMS-028: 승인된 보안 주체를 제외한 태그 수정 방지
승인된 보안 주체를 제외한 모든 사용자의 태그 수정을 방지합니다. 권한 부여 태그를 사용하여 보안 주체에 권한을 부여합니다. 권한 부여 태그는 리소스 및 보안 주체와 연결되어야 합니다. 사용자/역할은 리소스와 보안 주체의 태그가 모두 일치하는 경우에만 승인된 것으로 간주됩니다. 자세한 정보는 다음 자료를 참조하세요.
{ "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "ec2:ResourceTag/access-project": false } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "access-project" ] } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "aws:PrincipalTag/access-project": true } } }
SCP-AMS-029: 사용자가 Amazon VPC 흐름 로그를 삭제하지 못하도록 방지
Amazon VPC 흐름 로그의 삭제를 방지합니다.
{ "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream", "s3:DeleteBucket", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:PutLifecycleConfiguration", "firehose:DeleteDeliveryStream" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-030: 네트워크 계정 이외의 계정과 VPC 서브넷 공유 방지
네트워크 계정이 아닌 다른 계정과 Amazon VPC 서브넷을 공유하는 것을 방지합니다.
참고
NETWORK_ACCOUNT_ID를 네트워크 계정 ID로 바꿉니다.
{ "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "ram:Principal": "NETWORK_ACCOUNT_ID" }, "StringEquals": { "ram:RequestedResourceType": "ec2:Subnet" } } }
SCP-AMS-031: 금지된 인스턴스 유형으로 인스턴스 시작 방지
금지된 Amazon EC2 인스턴스 유형이 출시되지 않도록 합니다.
참고
instance_type1 및 instance_type2를 t2.micro와 같이 제한하려는 인스턴스 유형 또는 *.nano와 같은 와일드카드 문자열로 바꿉니다.
{ "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ForAnyValue:StringLike": { "ec2:InstanceType": [ "instance_type1", "instance_type2" ] } } }
SCP-AMS-032: IMDSv2 없이 인스턴스 시작 방지
IMDSv2 없이 Amazon EC2 인스턴스를 방지합니다. IMDSv2
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*" } ]
SCP-AMS-033: 특정 IAM 역할에 대한 수정 방지
지정된 IAM 역할에 대한 수정을 방지합니다.
{ "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:TagRole", "iam:UntagRole", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
SCP-AMS-034: 특정 IAM 역할에 대한 AssumeRolePolicy 수정 방지
지정된 IAM 역할에 대한 AssumeRolePolicy 수정을 방지합니다.
{ "Action": [ "iam:UpdateAssumeRolePolicy" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
ConfigRule: 필수 태그
EC2 인스턴스에 필요한 사용자 지정 태그가 있는지 확인합니다. InfoSec 외에도 Cost Management에도 유용합니다.
ConfigRuleName: required-tags Description: >- A Config rule that checks whether EC2 instances have the required tags. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' InputParameters: tag1Key: COST_CENTER tag2Key: APP_ID Source: Owner: AWS SourceIdentifier: REQUIRED_TAGS
ConfigRule: 액세스 키 교체됨
지정된 기간 내에 액세스 키가 교체되고 있는지 확인합니다. 이는 일반적으로 일반적인 규정 준수 요구 사항에 따라 90일로 설정됩니다.
ConfigRuleName: access-keys-rotated Description: >- A config rule that checks whether the active access keys are rotated within the number of days specified in maxAccessKeyAge. The rule is NON_COMPLIANT if the access keys have not been rotated for more than maxAccessKeyAge number of days. InputParameters: maxAccessKeyAge: '90' Source: Owner: AWS SourceIdentifier: ACCESS_KEYS_ROTATED MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: AMS의 IAM 루트 액세스 키
루트 액세스 키가 계정에 없는지 확인합니다. AMS Advanced 계정의 경우 기본적으로 규정을 준수할 것으로 예상됩니다 out-of-the-box.
ConfigRuleName: iam-root-access-key-check Description: >- A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist. Source: Owner: AWS SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: SSM 관리형 EC2
SSM Systems Manager에서 EC2s 관리하고 있는지 확인합니다.
ConfigRuleName: ec2-instance-managed-by-systems-manager Description: >- A Config rule that checks whether the EC2 instances in the account are managed by AWS Systems Manager. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' - 'AWS::SSM::ManagedInstanceInventory' Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
ConfigRule: AMS에서 미사용 IAM 사용자
지정된 기간 동안 사용되지 않은 IAM 사용자 자격 증명을 확인합니다. 키 교체 확인과 마찬가지로 일반적으로 일반적인 규정 준수 요구 사항에 따라 기본값은 90일입니다.
ConfigRuleName: iam-user-unused-credentials-check Description: >- A config rule that checks whether IAM users have passwords or active access keys that have not been used within the specified number of days provided. InputParameters: maxCredentialUsageAge: '90' Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: S3 버킷 로깅
계정의 S3 버킷에 대해 로깅이 활성화되었는지 확인합니다.
ConfigRuleName: s3-bucket-logging-enabled Description: >- A Config rule that checks whether logging is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
ConfigRule: S3 버킷 버전 관리
모든 S3 버킷에서 버전 관리 및 MFA 삭제(선택 사항)가 활성화되어 있는지 확인합니다.
ConfigRuleName: s3-bucket-versioning-enabled Description: >- A Config rule that checks whether versioning is enabled for S3 buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
ConfigRule: S3 퍼블릭 액세스
퍼블릭 액세스 설정(퍼블릭 ACL, 퍼블릭 정책, 퍼블릭 버킷)이 계정 전체에서 제한되는지 확인합니다.
ConfigRuleName: s3-account-level-public-access-blocks Description: >- A Config rule that checks whether the required public access block settings are configured from account level. The rule is only NON_COMPLIANT when the fields set below do not match the corresponding fields in the configuration item. Scope: ComplianceResourceTypes: - 'AWS::S3::AccountPublicAccessBlock' InputParameters: IgnorePublicAcls: 'True' BlockPublicPolicy: 'True' BlockPublicAcls: 'True' RestrictPublicBuckets: 'True' Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
ConfigRule: 보관되지 않은 GuardDuty 조사 결과
지정된 기간보다 오래된 보관되지 않은 GuardDuty 결과가 있는지 확인합니다. 기본 기간은 Low-sev의 경우 30일, Medium-sev의 경우 7일, High-sev 결과의 경우 1일입니다.
ConfigRuleName: guardduty-non-archived-findings Description: >- A Config rule that checks whether the Amazon GuardDuty has findings that are non archived. The rule is NON_COMPLIANT if GuardDuty has non archived low/medium/high severity findings older than the specified number. InputParameters: daysLowSev: '30' daysMediumSev: '7' daysHighSev: '1' Source: Owner: AWS SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: CMK 삭제
삭제가 예약된(일명 보류 중) AWS Key Management Service 사용자 지정 마스터 키(CMKs)가 있는지 확인합니다. 이는 CMK 삭제를 인식하지 못하면 데이터를 복구할 수 없게 될 수 있으므로 중요합니다.
ConfigRuleName: kms-cmk-not-scheduled-for-deletion Description: >- A config rule that checks whether customer master keys (CMKs) are not scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is NON_COMPLIANT if CMKs are scheduled for deletion. Source: Owner: AWS SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: CMK 교체
계정의 모든 CMK에 대해 자동 교체가 활성화되어 있는지 확인
ConfigRuleName: cmk-backing-key-rotation-enabled Description: >- A config rule that checks that key rotation is enabled for each customer master key (CMK). The rule is COMPLIANT, if the key rotation is enabled for specific key object. The rule is not applicable to CMKs that have imported key material. Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED MaximumExecutionFrequency: TwentyFour_Hours
