ビュー:

Cloud Risk Managementでのフレンドリーアカウントとは何ですか?

フレンドリーアカウントとは、信頼されているために他のアカウントのリソースにアクセスすることが許可されているアカウントです。フレンドリーアカウントが関連するルールに追加されると、コンプライアンス検索検索後に成功チェックが行われます。
アカウント管理者は、フレンドリーアカウントに対して特定のアクションや行動を明示的に許可します。これらのアカウントは、管理者によって安全と判断された限られた機能にアクセスできる場合があります。
例:
AWS [Account A]はAWS [Account B]のリソースにアクセスできます。両方のアカウントは同じ会社が所有している場合もあれば、そうでない場合もあります。また、[Account A]がAWS Consoleから[Account B]を"[trust]"するだけかもしれません。
この場合、[Account B]は顧客によって判断された[Account A]に対する信頼できる (信用された) アカウントとなります。したがって、[Account B]によって引き起こされた特定のルールの失敗はチェックから除外されます。

Friendlyアカウントで設定できるルールは何ですか?

  1. VPC-006: VPCエンドポイントクロスアカウントアクセス
  2. S3-015: S3クロスアカウントアクセス
  3. IAM-050: クロスアカウントアクセスに外部IDとMFAがありません
  4. IAM-057: 信頼されていないクロスアカウントIAMロールを確認
  5. KMS-006: KMSクロスアカウントアクセス
  6. SNS-002: SNSクロスアカウントアクセス
  7. SQS-002: SQSクロスアカウントアクセス
  8. CWE-002: EventBusクロスアカウントアクセス
  9. SES-004: クロスアカウントアクセスを識別
  10. ES-005: Elasticsearchクロスアカウントアクセス
  11. Lambda-002: Lambdaクロスアカウントアクセス
  12. ECR-002: リポジトリクロスアカウントアクセス
  13. VPC-014: AWS組織外のアカウントへのVPCピアリング接続

ルールに対してフレンドリーアカウントを設定するにはどうすればよいですか?

Please Note:: フレンドリーアカウントでルールを設定すると、これらのアカウントにアクセスできないユーザがルールチェックでAWS Account IDを表示できるようになります。
  1. サポートされているルールの一覧から、アカウントの[ルール]ボタンにある[設定]をクリックしてください。
  2. 次のオプションのいずれかを選択することで、フレンドリーアカウントを追加できます:
    • **手動追加 (すべてのユーザ向け): テキストボックスにアカウント名を入力し、[新規追加]ボタンをクリックしてください。
    • Accounts within your AWS Organization (For Admin Users Only)
      • このオプションを選択すると、AWSオーガニゼーション内のすべてのアカウントをフレンドリーアカウントとして含めることができます。
      • !!! 注 ""
        • このオプションは、Cloud Risk Management内のAWS accountであり、かつAWS Organizationの管理アカウントである場合にのみ機能します。これは、AWS Organization内のすべてのアカウントのアカウントIDへのアクセスが必要だからです。
        • ルールVPC-006 - VPC Endpointクロスアカウントアクセスのみ - すべてのユーザはこのオプションを使用してフレンドリーアカウントを追加できます。
    1. このCloud Risk Management組織内のすべて (管理者ユーザのみ) このオプションを選択すると、現在のCloud Risk Management組織内のすべてのAWS accountsをフレンドリーアカウントとして含めることができます。
    2. 以下のCloud Risk Managementタグを使用して (管理者ユーザのみ) 同じCloud Risk Management組織からフレンドリーアカウントとして含めたいAWS accountsの関連タグを入力してください。