~~NOCACHE~~ ~~DISCUSSION~~ ## 0.はじめに(AWSセキュリティセット) ### はじめに マルチアカウント構成のセキュリティ基準を設けることで、セキュリティ統制を図る目的で記載している。 セキュリティ統制の適用については、抜け漏れ防止や設定ミスが起こらないようコード化を取り入れている。 ### 資材(CloudFormationテンプレート) https://pg.mnztech.work/dokuwiki/_media/cloudformation.zip ### 管理方針 ・管理アカウント:SCPなど、管理アカウントでしか実施できない項目のみ管理する ・委任先アカウント:管理アカウントから委任を受け、セキュリティ関連のサービス/証跡を一元管理する ・メンバアカウント:上記2種のアカウントに管理されるアカウント、システム要件のリソースを配置する {{:Aws:SecurityManagement:pasted:20220525-153939.png?direct 800x0}} ### 設定概要 ^ サービス名 ^ 設定概要 ^ 備考 ^ | IAM | 強力なパスワードポリシーを設定 | パスワードの最小文字数は 14 文字です | | ::: | ::: | 1 文字以上のアルファベット大文字 (A~Z) を必要とする | | ::: | ::: | 1 文字以上のアルファベット小文字 (a~z) を必要とする | | ::: | ::: | 少なくとも 1 つの数字が必要 | | ::: | ::: | 少なくとも 1 つの英数字以外の文字が必要 | | ::: | ::: | パスワードは 90 日で有効期限が切れます | | ::: | ::: | ユーザーにパスワードの変更を許可する | | EBS | 全リージョンでデフォルト暗号化を有効 | | | デフォルトVPC | 全リージョンで削除 | | | S3(アカウント/バケット) | アカウント/バケット単位でパブリックアクセスの禁止 | | | AWS IAMAccessanalyzer | 全リージョンで有効化 | | | AWS SecurityHub | 全リージョンで有効化 | AWSの基本的なセキュリティのベストプラクティス標準のみ有効化 | | Amazon Detective | 全リージョンで有効化 | | | Amazon GuardDuty | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 | | AWS Config | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 | | AWS CloudTrail | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 | | Amazon EventBridge | 特定のイベントを「ログは委任された管理アカウント」に集約しSNSからメール連携 | | | AWS ManagKeyement Service | 必要に応じて、CMKを作成/暗号化 | | | Amazon Athena/Glue | アクセスログ解析用のS3バケット/データベース/テーブルを作成 | | | AWS Macie | - | 業務要件にて必要に応じて対応する方針とする。 | ### 記事一覧 {{indexmenu>.#1|noscroll notoc tsort skipfile=/Introduction/}} ### 参考サイト {{tag>AWS SecurityHub}}