Cloud Posture に関するよくある質問

Lambda-009: 環境変数の保存時暗号化を顧客管理キーで有効化: AVTDリソースはデフォルトキーで安全に暗号化されています。さらに、環境変数には秘密情報が含まれていないため、顧客管理キーを使用した追加の暗号化は必要ありません。

SecretsManager-001: KMSカスタマーマスターキーで暗号化されたシークレット: AVTDリソースはデフォルトキーで安全に暗号化されているため、顧客管理キーを使用した追加の暗号化は必要ありません。

Lambda-001: 最新のランタイム環境を使用するLambda: AVTDは、すべてのLambdaがサポートされているランタイム環境を使用し、サポート終了日がないことを保証します。すべてのサポートされているランタイム環境は、AWSから頻繁にセキュリティアップデートを受け取ります。

Lambda-003: Lambdaトレースが有効: AVTDはこの機能をリリース前に徹底的にテストするため、トレースの有効化による追加の可視性は必要ありません。

SecretsManager-002:シークレットのローテーションが有効 AVTDはAWSが提供するものではなく独自のシークレット機能を使用するため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。

SecretsManager-003: シークレットのローテーション間隔 AVTDはAWSが提供するものではなく独自のシークレット機能を使用しているため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。

S3-024: S3 Transfer Acceleration: AVTD機能は転送加速機能を使用しません。

Lambda-006: 複数のLambda関数に対してIAMロールを使用する: AVTDは「パーミッションプレーン」と呼ばれる戦略を採用しており、同一の権限を必要とするLambda関数が単一のIAMロールを使用します。これにより、複数のリージョンにデプロイする際の効率性と管理性が確保されます。例えば、顧客のクラウドアカウントで使用されるIAMロールの数を減らすことができます

Lambda-007:AWS Lambda関数のVPCアクセス: AVTDは、VPCの実装が必要なRedshift、ElastiCache、RDSなどのリソースを使用しません。

CFM-001: CloudFormationスタック通知: AVTD CloudFormationスタックは既にAWSではなくV1 CAMを介して管理されています。

CFM-002: CloudFormationスタックポリシー: AVTD CloudFormationスタックはすでにAWSではなくV1 CAMを介して管理されています。

CFM-005:CloudFormationスタック終了保護: 環境内のスタックを管理するために、AVTDはユーザがスタックを無効化し、アカウントから削除することを許可します

S3-025: 顧客提供キーCMKで暗号化されたS3バケット: AVTDはすでにS3管理キーを使用して暗号化されています。

SQS-006:SQSデッドレターキュー: AVTDは、該当する場合にいくつかのSQSリソースでデッドレターキュー (DLQ) を実装します。

S3-013: S3バケットMFA削除が有効: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤って削除されるのを防ぐためにMFA削除保護を有効にする必要はありません

S3-023: オブジェクトロック: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤って削除されることを防ぐためのオブジェクトロックは必要ありません。

これらの障害がCloud Accountsのコンプライアンスに影響を与えないようにするために、上記のルールからAVTDリソースを除外してください。リソースタグ AppManagerCFNStackKey::V1 Agentless Vulnerability and Threat Detection を使用してルール除外を作成することで、リソースをルールから除外できます。あるいは、リソースタグを使用して除外プロファイルを作成および適用することもできます