Control Towerにおける統制(コントロール)の種類
予防的コントロール(Preventive Controls)
ポリシー違反につながるアクションを事前にブロックする統制
- 実装方法: Service Control Policies(SCP)、Resource Control Policies(RCP)、宣言型ポリシー
- 例: 「Disallow Changes to Bucket Policy for Amazon S3 Buckets」は、ログアーカイブ共有アカウント内でのIAMポリシー変更を禁止する
出典: How controls work - AWS Control Tower
Preventive controls prevent actions from occurring… Any attempt to perform a prevented action is denied and logged in CloudTrail.
発見的コントロール(Detective Controls)
リソースの非準拠状態を検出し、ダッシュボードでアラートを提供する統制
- 実装方法: AWS Config Rules
- 例: 「Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances」というコントロールにより、暗号化されていないEBSボリュームがEC2インスタンスにアタッチされているかを検出する
出典: Control behavior and guidance - AWS Control Tower
A detective control detects noncompliance of resources within your accounts, such as policy violations, and provides alerts through the dashboard.
プロアクティブコントロール(Proactive Controls)
リソースがプロビジョニングされる前にコンプライアンスをチェックし、非準拠のリソースはデプロイを阻止する統制
- 実装方法: AWS CloudFormation Hooks
出典: Control behavior and guidance - AWS Control Tower
A proactive control scans your resources before they are provisioned, and makes sure that the resources are compliant with that control. Resources that are not compliant will not be provisioned.”
3種類の比較
┌─────────────────┬──────────────────┬──────────────────┬──────────────────┐
│ │ 予防的 │ 発見的 │ プロアクティブ │
├─────────────────┼──────────────────┼──────────────────┼──────────────────┤
│ タイミング │ アクション実行時 │ リソース作成後 │ リソース作成前 │
│ 実装技術 │ SCP/RCP │ AWS Config Rules │ CloudFormation │
│ │ │ │ Hooks │
│ 非準拠時の動作 │ アクションを拒否 │ アラート通知 │ デプロイを阻止 │
└─────────────────┴──────────────────┴──────────────────┴──────────────────┘