このページのトピック

Configure Rules For Friendly Accounts

場所	Main Dashboard > Select {Account} > Rules settings > Update rules settings > Configure

Conformityの friendly accounts とは

Friendly accountは、信頼されているため、別のアカウントのリソースへのアクセスを許可されます。 Friendly account が関連するルールに追加されると、 Conformity Bot の検索後に成功チェックが実行されます。

アカウント管理者は、 friendly accountsに対して特定の処理または動作を明示的に許可します。これらのアカウントは、管理者によって安全と判断された機能の一部にアクセスできます。

たとえば、次のとおりです。

AWS アカウントA ** は、AWS アカウントB のリソースにアクセスできます。両方のアカウントが同じ会社によって所有されている場合とそうでない場合があります。または、 アカウントA ** が、AWSコンソールの アカウントB ** を「信頼**」するだけの場合があります。

この場合、 アカウントB ** は、ユーザが決定した アカウントA ** との友好的な（信頼できる）アカウントになります。そのため、 **アカウントB ** によって発生した特定のルールFailureはチェックから除外されます。

Friendly accountsで設定できるルール

VPC-006: VPC Endpoint Cross Account Access
S3-015: S3 Cross Account Access
IAM-050: Cross-Account Access Lacks External ID and MFA
IAM-057: Check for Untrusted Cross-Account IAM Roles
KMS-006: KMS Cross Account Access
SNS-002: SNS Cross Account Access
SQS-002: SQS Cross Account Access
CWE-002: EventBus Cross Account Access
SES-004: Identify Cross-Account Access
ES-005: Elasticsearch Cross Account Access
Lambda-002: Lambda Cross Account Access
ECR-002: Repository Cross Account Access

Friendly accounts をルールに設定する方法

**注意:: ** friendly accounts を使用してルールを設定すると、これらのアカウントにアクセスできないユーザも、ルールチェックでAWSアカウントIDを表示できるようになります。

サポートされているルールのリストで、アカウントの[ ConfigureRule ]ボタンをクリックします。
Friendly accounts を追加するには、次のオプションを1つ以上選択します。
- 手動で追加 (すべてのユーザ)：テキストボックスにアカウント名を入力し、[ Add new** ]ボタンをクリックします。
- AWS Organization 内のアカウント（ Admin ユーザーのみ）
  - AWS組織のすべてのアカウントを friendly accountsとして含めるには、このオプションを選択します。
  - - このオプションは、 Conformity のAWSアカウントに対してのみ機能します。このアカウントは、AWS OrganizationのすべてのアカウントのIDにアクセスする必要があるため、AWS Organizationの管理アカウントでもあります。
    - ルールVPC-006 - VPCエンドポイントのクロスアカウントアクセスの場合のみ - すべてのユーザがこのオプションを使用して friendly accounts を追加できます。
Conformity 組織内のすべて（ Admin ユーザのみ） このオプションを選択すると、現在の ConformityOrganization のすべてのAWSアカウントが friendly accountsとして含まれます。
次の Conformity タグを持つすべて（ Admin ユーザのみ） Friendly accountとして含める Conformity 組織のAWSアカウントに関連付けられたタグを入力します。