目次

Configure Rules For Friendly Accounts

場所

Main Dashboard > Select {Account} > Rules settings > Update rules settings > Configure

Conformityの friendly accounts とは

Friendly accountは、信頼されているため、別のアカウントのリソースへのアクセスを許可されます。 Friendly account が関連するルールに追加されると、 Conformity Bot の検索後に成功チェックが実行されます。

アカウント管理者は、 friendly accountsに対して特定の処理または動作を明示的に許可します。これらのアカウントは、管理者によって安全と判断された機能の一部にアクセスできます。

たとえば、次のとおりです。

AWS アカウントA は、AWS アカウントB のリソースにアクセスできます。両方のアカウントが同じ会社によって所有されている場合とそうでない場合があります。または、 アカウントA が、AWSコンソールの アカウントB を「信頼」するだけの場合があります。

この場合、 アカウントB は、ユーザが決定した アカウントA との友好的な(信頼できる)アカウントになります。そのため、 アカウントB によって発生した特定のルールFailureはチェックから除外されます。

Friendly accountsで設定できるルール

  1. VPC-006: VPC Endpoint Cross Account Access
  2. S3-015: S3 Cross Account Access
  3. IAM-050: Cross-Account Access Lacks External ID and MFA
  4. IAM-057: Check for Untrusted Cross-Account IAM Roles
  5. KMS-006: KMS Cross Account Access
  6. SNS-002: SNS Cross Account Access
  7. SQS-002: SQS Cross Account Access
  8. CWE-002: EventBus Cross Account Access
  9. SES-004: Identify Cross-Account Access
  10. ES-005: Elasticsearch Cross Account Access
  11. Lambda-002: Lambda Cross Account Access
  12. ECR-002: Repository Cross Account Access

Friendly accounts をルールに設定する方法

注意:: friendly accounts を使用してルールを設定すると、これらのアカウントにアクセスできないユーザも、ルールチェックでAWSアカウントIDを表示できるようになります。

  1. サポートされているルールのリストで、アカウントの[ ConfigureRule ]ボタンをクリックします。
  2. Friendly accounts を追加するには、次のオプションを1つ以上選択します。
    • 手動で追加 (すべてのユーザ):テキストボックスにアカウント名を入力し、[ Add new** ]ボタンをクリックします。
    • AWS Organization 内のアカウント( Admin ユーザーのみ)
      • AWS組織のすべてのアカウントを friendly accountsとして含めるには、このオプションを選択します。
        • このオプションは、 Conformity のAWSアカウントに対してのみ機能します。このアカウントは、AWS OrganizationのすべてのアカウントのIDにアクセスする必要があるため、AWS Organizationの管理アカウントでもあります。
        • ルールVPC-006 - VPCエンドポイントのクロスアカウントアクセスの場合のみ - すべてのユーザがこのオプションを使用して friendly accounts を追加できます。
  3. Conformity 組織内のすべて( Admin ユーザのみ) このオプションを選択すると、現在の ConformityOrganization のすべてのAWSアカウントが friendly accountsとして含まれます。
  4. 次の Conformity タグを持つすべて( Admin ユーザのみ) Friendly accountとして含める Conformity 組織のAWSアカウントに関連付けられたタグを入力します。