カスタムポリシーの追加
- 02 Jul 2025
- 1 読む分
- 印刷する
- 闇光
- PDF
カスタムポリシーの追加
- 更新日 02 Jul 2025
- 1 読む分
- 印刷する
- 闇光
- PDF
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
組織に関連する特定の問題に対処するために、使いやすいテンプレートに基づいてカスタムポリシーを作成します。
組織レベルまたはアカウント (フォルダー) のグループ内で作成されたカスタムポリシーは、今後作成される子アカウントを含め、すべての子アカウントに継承されます。カスタムポリシーを作成したオリジナルフォルダー/アカウントからのみ、カスタムポリシーを有効または無効にできます。たとえば、上位の AWS フォルダーでカスタムポリシーを作成した場合、AWS フォルダー内の子フォルダー/アカウントでそのカスタムポリシーを有効または無効にすることはできません。この場合、上位の AWS フォルダーで定義したステータスは、すべての子フォルダー/アカウントに反映されます。フォルダーの詳細については、フォルダーを使用したアカウント階層の作成を参照してください。
自動化ルールを作成し、すべてのポリシーに適用することを選択した場合、選択した自動化ターゲット (アクション) はすべて、作成するカスタムポリシーにも適用されます。
カスタムポリシーの追加
カスタムポリシーを追加する方法
(オプション) [Organization] (組織) ドロップダウンでアカウントの範囲を選択して、カスタムポリシーの範囲をクラウドアカウントの特定のサブセットに制限します。デフォルトでは、組織全体 (すべてのアカウント) が選択されています。
左側のナビゲーションペインで [Policies] (ポリシー) をクリックします。
[Policies] (ポリシー) テーブル画面で、[Custom] (カスタム) タブを選択します。
[Policies] (ポリシー) テーブルの右上にある [Add Custom Policy] (カスタムポリシーの追加) をクリックします。
アカウントの範囲で組織全体 (すべてのアカウント) を選択した場合は、クラウドプロバイダーを選択するよう求められます。
クラウドプロバイダーを選択すると、[Choose Policy Template] (ポリシーテンプレートの選択) ページが表示され、左側にテンプレートカテゴリの一覧が表示されます。利用可能なカテゴリは、クラウドプロバイダーによって異なります。
左側からテンプレートカテゴリを選択したら、このポリシーに使用するテンプレートを選択します。
[Next] (次へ) をクリックします。
[Edit Template Details] (テンプレート詳細の編集) ページで、ポリシーの名前と説明を入力します。
ポリシーに深刻度を割り当てます。これにより、ポリシーがトリガーした検出結果の深刻度が決まります。
選択したテンプレートに応じて、ポリシーを適用するタイミングを定義する条件を選択する必要があります。たとえば、[Monitor Permissions] > (アクセス許可のモニタリング) > [These principals should not have these permissions on these resources]** (これらのプリンシパルはこれらのリソースに対してこれらのアクセス許可を持つべきではない) を選択した場合、ポリシーが適用されるプリンシパル、アクセス許可 (特定のアクションまたは大きなカテゴリのいずれか)、リソースを選択する必要があります。任意の条件に対して、1 つ以上のエンティティを選択できます。
重要な注意点
[Preview]**** (プレビュー) ボタンをクリックすると、構成された条件は同期前にバリデーションされます。
- これはプリンシパルとリソースに適用され、構成された条件を満たすそれぞれの数が表示されます。
- これにより、確実にポリシー構成をバリデーションして調整でき、関連するプリンシパルまたはリソースなしでポリシーが構成されることがなくなります。
複数選択の論理演算子
- タグ/ラベル:複数のタグまたはラベルを選択すると (たとえば、これらのタグを持つリソース内で)、
ALL論理演算子が適用され、ポリシーは指定されたすべてのタグまたはラベルが識別された場合にのみトリガーされます。この文脈でANY論理をタグ/ラベルに適用するには、複数のカスタムポリシーを作成し、トリガーとする特定のタグ/ラベルを使用して各ポリシーを設定します。 - その他すべての条件:複数のエンティティ/リソースを選択した場合、
ANY論理演算子が適用されます。これは、指定されたリソースのいずれかが識別された場合にポリシーがトリガーされることを意味します。 - 以下のテンプレートでは、
ALLまたはANY演算子のいずれかを適用するかどうかを選択できます。また、これらのテンプレートの除外を定義することもできます。 - これらのプリンシパルのみがこれらのリソース
に対してこれらのアクセス許可を持つべきである - これらのプリンシパルはこれらのリソース
に対してこれらのアクセス許可を持つべきではない - これらのプリンシパルはこれらのリソース
- に対してこれらのロールを持つべきではない 完了したら**[Done]** (完了) をクリックします。
カスタムポリシーテンプレート
は、カスタムポリシーの作成に使用できる多数のテンプレートを提供します。これらのテンプレートを使用すると、モニタリングするリソースとその方法を柔軟に定義できます。たとえば、「これらのアイデンティティのアクティビティをすべてモニタリングする」というテンプレートを使用して、緊急アクセス用アカウントでのアクティビティをモニタリングするカスタムポリシーを作成し、そのアカウントが認証されていないアイデンティティに使用されないようにすることができます。または、バケット/キー/シークレットの変更をモニタリングするテンプレートを使用して、環境内の重要な「価値のある」資産をモニタリングすることもできます。
どのテンプレートでもサポートされていないカスタムポリシーの構成を検討している場合は、 の担当者にお問い合わせください。
以下のカテゴリ別のテンプレートは、特定のユースケースに対処するカスタムポリシーの作成に使用できます。
| カテゴリ | クラウド | テンプレート | ユースケースの例 |
|---|---|---|---|
| アクセス許可のモニタリング | AWS | これらのプリンシパルのみがこれらのアクセス許可を持つ必要がある | 最重要データの保護。特定のアイデンティティが機密度の高いリソースにアクセスできないようにします。 |
| AWS | これらのリソースに対して、これらのプリンシパルのみがこれらのアクセス許可を持つ必要がある | 職務の分離。特定のアイデンティティのみがこのリソースにアクセスできる必要がある。 | |
| Azure/GCP | これらのプリンシパルのみがこれらのリソースに対してこれらのアクセス許可を持つ必要がある | 職務の分離。特定のアイデンティティのみがこのリソースにアクセスできる必要がある。 | |
| AWS/Azure/GCP | これらのプリンシパルはこれらのリソースに対してこれらのアクセス許可を持つべきではない | 最重要データの保護。特定のアイデンティティが機密度の高いリソースにアクセスできないようにする。 | |
| Azure/GCP | これらのプリンシパルはこれらのリソースに対してこれらのロールを持つべきではない | 権限昇格。機密度の高いロールへのアクセスの変更をモニタリングする。 | |
| AWS | これらのロールはこの参照ロールに一致するポリシーを持つべきである 注意:組織のロールを使用し、ロールのアカウントごとのインスタンスを事前定義されたテンプレートに準拠させたい場合は、このテンプレートを使用することで、アタッチされたポリシーのセットが選択した参照ロールから逸脱したときにアラートを受け取れます。 | ||
| AWS | これらのバケットでポリシー、ACL、ブロックパブリックアクセスの設定変更をモニタリングする | 最重要データの保護。機密度の高いバケット構成の変更に関するアラートを受け取る。 | |
| AWS | これらのキーにおけるアクセス許可の変更をモニタリングする | 最重要データの保護。キーのポリシーの変更に関するアラートを受け取る。 | |
| AWS | これらのシークレットにおけるポリシー変更をモニタリングする | 最重要データの保護。特定のシークレットポリシーの変更に関するアラートを受け取る。 | |
| AWS | これらのロールにおける信頼ポリシーの変更をモニタリングする | 権限昇格。機密度の高いロールへのアクセスの変更をモニタリングする。 | |
| Azure | これらのマネージド ID はこれらのリソースに対してこれらのアクセス許可を持つべきではない | 最重要データの保護。特定のアイデンティティが機密度の高いリソースにアクセスできないようにする。 | |
| アクティビティのモニタリング | AWS/Azure/GCP | これらのアイデンティティのアクティビティをすべてモニタリングする 重要:
| 緊急アクセス用アカウントをモニタリングします。緊急アクセス用アカウントの使用についてアイデンティティのアクティビティをモニタリングします。 |
| リソースのモニタリング | AWS | これらのセキュリティグループのルール変更をモニタリングする | ネットワークセキュリティ。機密度の高いセキュリティグループへの変更をモニタリングします。 |
| AWS | これらのバケットでポリシー、ACL、ブロックパブリックアクセスの設定変更をモニタリングする | 最重要データの保護。機密度の高いバケット設定の変更に関するアラートを受け取ります。 | |
| AWS | これらのキーにおけるアクセス許可の変更をモニタリングする | 最重要データの保護。キーのポリシーの変更に関するアラートを受け取ります。 | |
| AWS | これらのシークレットにおけるポリシー変更をモニタリングする | 最重要データの保護。特定のシークレットポリシーの変更に関するアラートを受け取ります。 | |
| AWS | 作成されたこれらのタイプのこれらの IAM プリンシパルをモニタリングする | アクセスのモニタリング。新しく作成されたアイデンティティをモニタリングします。 | |
| AWS | これらのロールにおける信頼ポリシーの変更をモニタリングする | 権限昇格。機密度の高いロールへのアクセスの変更をモニタリングします。 | |
| AWS/Azure/GCP | これらのリソースはコードとして管理する必要がある | コードによって管理されるリソースを特定します。 | |
| AWS/Azure/GCP | これらのリソースにはこれらのタグが必要である | ベストプラクティスの実施。組織のタグ付けポリシーを強制します。 | |
| AWS | これらのアクセス許可セットがユーザーまたはグループに割り当てられるタイミングをモニタリングする | ||
| AWS | これらのアクセス許可セットが作成または更新されるタイミングをモニタリングする | アクセスのモニタリング。AWS Identity Center のアクセス許可セットの変更をモニタリングします。 | |
| AWS | これらのリソースはこれらのキーを使用して暗号化する必要がある | 保存データのセキュリティコントロールを強制します。 | |
| ネットワークのモニタリング | AWS | これらの VPC でインターネットゲートウェイをアタッチすべきではない | ネットワークセキュリティ。内部ネットワークの露出を制限します。 |
| AWS | これらのサブネットはインバウンドのインターネット接続を許可すべきではない | ネットワークセキュリティ。内部ネットワークの露出を制限します。 | |
| AWS | これらのセキュリティグループでのルール変更をモニタリングする | ネットワークセキュリティ。機密度の高いセキュリティグループへの変更をモニタリングします。 | |
| AWS/Azure/GCP | リソースはこれらの IPv4 アドレス範囲からこれらのポートへのインバウンドのインターネット接続を許可するべきではない 注意:このポリシーは以下のリソースに適用されます。
| ネットワークセキュリティ。外部ネットワークからのアクセスを制限します。 | |
| AWS | これらのセキュリティグループは、これらの IP アドレス範囲からこれらのポートへのインバウンドのインターネットアクセスを許可すべきではない | ネットワークセキュリティ。内部または外部ネットワークからのアクセスを制限します。 | |
| AWS | これらのセキュリティグループは、これらの IP アドレス範囲からこれらのポートへのインバウンドのインターネットアクセスを許可する必要がある | ネットワークセキュリティ。内部または外部ネットワークからのアクセスを制限します。 |
この記事は役に立ちましたか?
