[新機能] AWS Control Towerにデータの地理的制限をするガードレールが追加されました!

2021.12.01

ご機嫌いかがでしょうか。豊崎です。

寝る時間を惜しんで、re:Invent楽しんでいます。今日は、re:Invent期間中に追加されたAWS Control Towerのdata residencyガードレールについてご紹介します。

このガードレールはエンドユーザのデータが保存または処理される物理的な場所を管理するための新しいガードレールです。企業のAWSアカウントでAWS上にアップされたエンドユーザの個人データが特定のAWSリージョンまたはリージョン外で保存や処理されないようにする内容になっています。

ガードレール

追加されたガードレールは以下の17個で、必要に応じて選択することが可能です。

  • Deny access to AWS based on the requested AWS Region
    • 指定されたリージョン外のグローバル及びリージョナルサービスでの指定していないサービスの利用拒否
  • Disallow internet access for an Amazon VPC instance managed by a customer
    • VPC配下のインスタンスのインターネットアクセスの禁止
  • Disallow Amazon Virtual Private Network (VPN) connections
    • VPCに対するSite to Site VPNの禁止
  • Disallow cross-region networking for Amazon EC2, Amazon CloudFront, and AWS Global Accelerator
    • EC2/CloudFront/GlobalAcceleratorのクロスリージョン利用の禁止
  • Detect whether public IP addresses for Amazon EC2 autoscaling are enabled through launch configurations
    • EC2 AutoScaling Groupの起動設定でパブリックIPアドレスが有効になっているかの検出
  • Detect whether replication instances for AWS Database Migration Service are public
    • AWS Database MigrationServiceのレプリケーションインスタンスがパブリックであるかどうかの検出
  • Detect whether Amazon EBS snapshots are restorable by all AWS accounts
    • すべてのAWSアカウントがAmazonEBSスナップショットを復元するためのアクセス権を持っているかどうかを検出
  • Detect whether any Amazon EC2 instance has an associated public IPv4 address
    • EC2インスタンスにパブリックIPv4アドレスが関連付けられているかどうかを検出
  • Detect whether Amazon S3 settings to block public access are set as true for the account
    • S3のパブリックアクセスをブロックするために必要な設定がアカウントに対して(Not バケット/アクセスポイント)、trueどうかを定期的に検出
  • Detects whether an Amazon EKS endpoint is blocked from public access
    • EKSエンドポイントがパブリックアクセスからブロックされているかどうかを検出
  • Detect whether an Amazon OpenSearch Service domain is in Amazon VPC
    • Amazon OpenSearchServiceドメインがAmazonVPCにあるかどうかを検出
  • Detect whether any Amazon EMR cluster master nodes have public IP addresses
    • EMRクラスターマスターノードにパブリックIPアドレスがあるかどうかを検出
  • Detect whether the AWS Lambda function policy attached to the Lambda resource blocks public access
    • LambdaリソースにアタッチされたLambdaファンクションポリシーがパブリックアクセスをブロックしているかどうかを検出
  • Detect whether public routes exist in the route table for an Internet Gateway (IGW)
    • インターネットゲートウェイ(IGW)のルートテーブルにパブリックルートが存在するかどうかを検出
  • Detect whether Amazon Redshift clusters are blocked from public access
    • Amazon Redshiftクラスターがパブリックアクセスをブロックしているかどうかを検出
  • Detect whether an Amazon SageMaker notebook instance allows direct internet access
    • Amazon SageMakerノートブックインスタンスが直接インターネットアクセスを許可しているかどうかを検出
  • Detect whether any Amazon VPC subnets are assigned a public IP address
    • すべてのAmazon VPCサブネットにパブリックIPアドレスが割り当てられているかどうかを検出
  • Detect whether AWS Systems Manager documents owned by the account are public
    • アカウントが所有するAWS Systems Managerドキュメントが公開されているかどうかの検出

ユースケース

  • グローバルに運用されるシステムやアプリを持っており、顧客データの地理的な要件がある場合(GDPRなど)
  • 公共部門の組織や、金融、政府、医療などの規制された業界で事業を行っており、顧客データに関する地理的な要件がある場合

さいごに

今回のUpdateでGDPRなどのデータの取り扱いに関する物理的な地理的要件に対するアプローチが増えました。AWS Control Towerは、比較的頻繁に機能の拡充されている印象です。AWSアカウントの利用が増えれば増えるほどガバナンスに対する希望が増えるものです。これからもより便利な機能追加に期待ですね。この記事が誰かのお役に立てば幸いです。