クラウドポスチャのフレンドリアカウントとは何ですか?
フレンドリアカウントは、信頼されているため、別のアカウントのリソースへのアクセスが許可されているアカウントです。関連するルールに友好的なアカウントが追加されると、
クラウドポスチャ検索 スキャン後に成功チェックが行われます。
アカウント管理者は、フレンドリアカウントに対して特定の処理または動作を明示的に許可します。これらのアカウントは、管理者が安全と判断した一部の機能にアクセスできる場合があります。
例:
AWS [アカウントA] は、AWS [アカウントB]内のリソースにアクセスできます。[信頼する]の [アカウントA] が同じ会社によって [アカウントB] されている場合もあれば、所有されていない場合もあります。
この場合、 [アカウントB] は、ユーザの判断に応じて、 [アカウントA] フレンドリ (信頼済み) アカウントになります。したがって、 [アカウントB] によって発生した特定のルールエラーはチェックから除外されます。
フレンドリアカウントではどのようなルールを設定できますか?
- VPC-006: VPC Endpoint Cross Account Access
- S3-015: S3 Cross Account Access
- IAM-050: Cross-Account Access Lacks External ID and MFA
- IAM-057: Check for Untrusted Cross-Account IAM Roles
- KMS-006: KMS Cross Account Access
- SNS-002: SNS Cross Account Access
- SQS-002: SQS Cross Account Access
- CWE-002: EventBus Cross Account Access
- SES-004: Identify Cross-Account Access
- ES-005: Elasticsearch Cross Account Access
- Lambda-002: Lambda Cross Account Access
- ECR-002: Repository Cross Account Access
ルールにフレンドリアカウントを設定する方法を教えてください。
[次の点にご注意ください。] フレンドリアカウントでルールを設定すると、これらのアカウントへのアクセス権を持たないユーザが、ルールチェックで自分のAWSアカウントIDを表示できるようになります。
- サポートされているルールのリストから、アカウントの [設定] [ルール] ボタンをクリックします。
- 次のオプションから1つ以上を選択することで、フレンドリアカウントを追加できます。
- **手動追加 (すべてのユーザ用): テキストボックスにアカウント名を入力し、 [新規追加] ボタンをクリックします。
- [AWS Organization内のアカウント (管理ユーザのみ)]
- AWS組織内のすべてのアカウントをフレンドリアカウントとして含めるには、このオプションを選択します。
- !!!メモ ""
- このオプションは、AWS OrganizationのすべてのアカウントのアカウントIDにアクセスする必要があるため、AWS Organizationの管理アカウントでもある クラウドポスチャ のAWSアカウントでのみ機能します。
- ルール「VPC-006 - VPCエンドポイントのクロスアカウントアクセスのみ - すべてのユーザがこのオプションを使用してフレンドリアカウントを追加できます」の場合。
- この クラウドポスチャ 組織内のすべて (管理ユーザのみ) 現在の クラウドポスチャ 組織のすべてのAWSアカウントをフレンドリアカウントとして含めるには、このオプションを選択します。
- 次の クラウドポスチャ タグを含むすべて (管理ユーザのみ) フレンドリアカウントとして含める、同じ クラウドポスチャ 組織のAWSアカウントに関連付けられているタグを入力します。