Amazon の Security Hub コントロール EC2 - AWS Security Hub
〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください〔EC2.3] アタッチされた Amazon EBSボリュームは、保管時に暗号化する必要があります〔EC2.4] 停止したEC2インスタンスは、指定された期間後に削除する必要があります〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください〔EC2.10] Amazon は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定EC2する必要があります〔EC2.12] 未使用の Amazon は削除EC2EIPsする必要があります〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください〔EC2.15] Amazon EC2サブネットはパブリック IP アドレスを自動的に割り当てないでください〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります〔EC2.17] Amazon EC2インスタンスは複数の を使用しないでください ENIs〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります〔EC2.19] セキュリティグループは、高リスクのポートへの無制限アクセスを許可しないでください〔EC2.20] AWS Site-to-Site VPN接続VPNのトンネルは両方とも起動している必要があります〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください〔EC2.25] Amazon EC2起動テンプレートは、パブリックIPsをネットワークインターフェイスに割り当てないでください〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります〔EC2.33] EC2 トランジットゲートウェイアタッチメントにはタグを付ける必要があります〔EC2.34] EC2トランジットゲートウェイルートテーブルにはタグを付ける必要があります〔EC2.35] EC2ネットワークインターフェイスにはタグを付ける必要があります〔EC2.36] EC2カスタマーゲートウェイにはタグを付ける必要があります〔EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります〔EC2.38] EC2インスタンスにはタグを付ける必要があります〔EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります〔EC2.41] EC2ネットワークにはタグを付けるACLs必要があります〔EC2.42] EC2ルートテーブルにはタグを付ける必要があります〔EC2.43] EC2 セキュリティグループにタグを付ける必要があります〔EC2.44] EC2サブネットにはタグを付ける必要があります〔EC2.45] EC2ボリュームにはタグ付けする必要があります〔EC2.46] Amazon にはタグを付けるVPCs必要があります〔EC2.47] Amazon VPCエンドポイントサービスにはタグを付ける必要があります〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります〔EC2.49] Amazon VPCピアリング接続にはタグを付ける必要があります〔EC20.50] EC2VPNゲートウェイにはタグを付ける必要があります〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります〔EC2.52] EC2トランジットゲートウェイにはタグを付ける必要があります〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon の Security Hub コントロール EC2

これらの AWS Security Hub コントロールは、Amazon Elastic Compute Cloud (Amazon EC2) サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません

関連する要件: PCI DSS v3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/7.2.1、 NIST.800-53.r5 AC-2(7) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3( NIST.800-53.r5 AC-421)、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 非常事態

リソースタイプ : AWS::::Account

AWS Config ルール : ebs-snapshot-public-restorable-check

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Elastic Block Store スナップショットがパブリックではないかどうかをチェックします。Amazon EBSスナップショットが誰でも復元できる場合、コントロールは失敗します。

EBS スナップショットは、特定の時点でEBSボリュームのデータを Amazon S3 にバックアップするために使用されます。スナップショットを使用して、EBSボリュームの以前の状態を復元できます。スナップショットのパブリックへの共有は滅多に認められていません。一般的に、スナップショットを公開する決定は、誤って行われたか、影響を完全に理解せずに行われています。このチェックは、そのような共有がすべて完全に計画され、意図的であったことを確認するのに役立ちます。

パブリックEBSスナップショットをプライベートにするには、「Amazon ユーザーガイド」の「スナップショットの共有」を参照してください。 EC2 [アクション、権限の変更] で、[非公開] を選択します。

〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

関連する要件: PCI DSS v3.2.1/1.2.1、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/2.1、 CIS AWS Foundations Benchmark v1.2.0/4.3、 CIS AWS Foundations Benchmark v1.4.0/5.3、 CIS AWS Foundations Benchmark v3.0.0/5.4 NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : vpc-default-security-group-closed

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 のデフォルトのセキュリティグループがインバウンドトラフィックとアウトバウンドトラフィックのどちらVPCを許可するかをチェックします。セキュリティグループがインバウンドまたはアウトバウンドのトラフィックを許可している場合、このコントロールは失敗します。

デフォルトのセキュリティグループのルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのアウトバウンドトラフィックとインバウンドトラフィックを許可します。デフォルトのセキュリティグループを使用しないことをお勧めします。デフォルトのセキュリティグループは削除できないため、デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。これにより、EC2インスタンスなどのリソースに対してデフォルトのセキュリティグループが誤って設定されている場合、意図しないトラフィックを防ぐことができます。

修正

この問題を解決するには、まず新しい最小特権のセキュリティグループを作成することから始めます。手順については、「Amazon ユーザーガイド」の「セキュリティグループの作成」を参照してください。 VPC 次に、新しいセキュリティグループをEC2インスタンスに割り当てます。手順については、「Amazon EC2ユーザーガイド」の「インスタンスのセキュリティグループを変更する」を参照してください。

新しいセキュリティグループをリソースに割り当てた後、デフォルトのセキュリティグループからすべてのインバウンドルールとアウトバウンドルールを削除します。手順については、「Amazon ユーザーガイド」の「セキュリティグループルールの削除」を参照してください。 VPC

〔EC2.3] アタッチされた Amazon EBSボリュームは、保管時に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9 (1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28 (1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7 (6)

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::EC2::Volume

AWS Config ルール : encrypted-volumes

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、アタッチされた状態にあるEBSボリュームが暗号化されているかどうかをチェックします。このチェックに合格するには、EBSボリュームが使用され、暗号化されている必要があります。EBS ボリュームがアタッチされていない場合、このチェックの対象にはなりません。

EBS ボリューム内の機密データのセキュリティを強化するには、保管時のEBS暗号化を有効にする必要があります。Amazon EBS暗号化は、独自のキー管理インフラストラクチャを構築、保守、保護する必要のない、 EBSリソース用の簡単な暗号化ソリューションを提供します。暗号化されたボリュームとスナップショットを作成するときに KMSキーを使用します。

Amazon EBS暗号化の詳細については、「Amazon ユーザーガイド」の「Amazon EBS暗号化」を参照してください。 EC2

修正

暗号化されていない既存のボリュームまたはスナップショットを暗号化する直接的な方法はありません。新しいボリュームまたはスナップショットは、作成時にのみ暗号化できます。

暗号化をデフォルトで有効にした場合、Amazon は Amazon EBS 暗号化のデフォルトキーを使用して、結果の新しいボリュームまたはスナップショットをEBS暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。いずれの場合も、Amazon EBS暗号化のデフォルトキーを上書きし、対称カスタマーマネージドキーを選択できます。

詳細については、「Amazon ユーザーガイド」の「Amazon EBSボリュームの作成」および「Amazon EBSスナップショットのコピー」を参照してください。 EC2

〔EC2.4] 停止したEC2インスタンスは、指定された期間後に削除する必要があります

関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 識別 > インベントリ

重要度:

リソースタイプ : AWS::EC2::Instance

AWS Config ルール : ec2-stopped-instance

スケジュールタイプ : 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

AllowedDays

失敗した検出結果を生成する前に、EC2インスタンスが停止状態になることができる日数。

整数

1365

30

このコントロールは、Amazon EC2インスタンスが許可された日数よりも長く停止されたかどうかをチェックします。EC2 インスタンスが最大許容期間を超えて停止すると、コントロールは失敗します。最大許容期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 30 日を使用します。

EC2 インスタンスが長期間実行されていない場合、インスタンスがアクティブにメンテナンス (分析、パッチ適用、更新) されていないため、セキュリティリスクが発生します。後で起動すると、適切なメンテナンスが行われないと、 AWS 環境で予期しない問題が発生する可能性があります。EC2 インスタンスを非アクティブ状態で長期間安全に維持するには、メンテナンスのために定期的に起動し、メンテナンス後に停止します。これは自動化されたプロセスであるべきです。

修正

非アクティブなEC2インスタンスを終了するには、「Amazon ユーザーガイド」の「インスタンスの終了」を参照してください。 EC2

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

関連する要件: CIS AWS Foundations Benchmark v1.2.0/2.9、 CIS AWS Foundations Benchmark v1.4.0/3.9、 CIS AWS Foundations Benchmark v3.0.0/3.7、PCIDSSv3.2.1/10.3.3、PCIDSSv3.2.1/10.3.4、PCIDSSv3.2.1/10.3.5、PCIDSSv3.2.1/10.3.6、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::EC2::VPC

AWS Config ルール : vpc-flow-logs-enabled

スケジュールタイプ : 定期的

パラメータ:

  • trafficType: REJECT (カスタマイズ不可)

このコントロールは、Amazon VPC Flow Logs が で見つかり、有効になっているかどうかをチェックしますVPCs。トラフィックタイプは Reject に設定されています。アカウントVPCsでVPCフローログが に対して有効になっていない場合、コントロールは失敗します。

注記

このコントロールは、 の Amazon Security Lake を介して Amazon VPC Flow Logs が有効になっているかどうかをチェックしません AWS アカウント。

VPC フローログ機能を使用すると、 のネットワークインターフェイスとの間で送受信される IP アドレストラフィックに関する情報をキャプチャできますVPC。フローログを作成したら、そのデータを CloudWatch Logs で表示および取得できます。コストを削減するために、フローログを Amazon S3 に送信することもできます。

Security Hub では、 のパケット拒否のフローログ記録を有効にすることをお勧めしますVPCs。フローログは、 を通過するネットワークトラフィックを可視化VPCし、異常なトラフィックを検出したり、セキュリティワークフロー中にインサイトを提供したりできます。

デフォルトでは、レコードには送信元、送信先、プロトコルなど、IP アドレスフローのさまざまなコンポーネントの値が含まれています。ログフィールドの詳細と説明については、「Amazon VPCユーザーガイド」のVPC「フローログ」を参照してください。

修正

VPC フローログを作成するには、「Amazon ユーザーガイド」の「フローログの作成」を参照してください。 VPC Amazon VPCコンソールを開いたら、 VPCsを選択します。[フィルター] で、[拒否] または [すべて] を選択します。

〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります

関連する要件: CIS AWS Foundations Benchmark v1.4.0/2.2.1、 CIS AWS Foundations Benchmark v3.0.0/2.2.1、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::::Account

AWS Config ルール : ec2-ebs-encryption-by-default

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Elastic Block Store (Amazon ) でアカウントレベルの暗号化がデフォルトで有効になっているかどうかをチェックしますEBS。アカウントレベルの暗号化が有効になっていない場合、コントロールは失敗します。

アカウントで暗号化が有効になっている場合、Amazon EBSボリュームとスナップショットのコピーは保管時に暗号化されます。これにより、データの保護レイヤーが追加されます。詳細については、「Amazon ユーザーガイド」の「デフォルトでの暗号化」を参照してください。 EC2

次のインスタンスタイプでは暗号化がサポートされないことに注意してください: R1、C1、および M1。

修正

Amazon EBSボリュームのデフォルトの暗号化を設定するには、「Amazon ユーザーガイド」の「デフォルトでの暗号化EC2」を参照してください。

〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

関連する要件: CIS AWS Foundations Benchmark v3.0.0/5.6, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

カテゴリ: 保護 > ネットワークセキュリティ

重要度:

リソースタイプ : AWS::EC2::Instance

AWS Config ルール : ec2-imdsv2-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、EC2インスタンスメタデータバージョンがインスタンスメタデータサービスバージョン 2 () で設定されているかどうかをチェックしますIMDSv2。が で必須に設定されている場合、コントロールHttpTokensは成功しますIMDSv2。HttpTokensoptional に設定されている場合、コントロールは失敗します。

インスタンスメタデータは、実行中のインスタンスを設定または管理するために使用します。IMDS は、頻繁にローテーションされる一時的な認証情報へのアクセスを提供します。これらの認証情報を使用すると、機密認証情報を手動でまたはプログラムでインスタンスにハードコーディングや、配信する必要がなくなります。IMDS はすべてのEC2インスタンスにローカルにアタッチされます。これは、特別な「リンクローカル」IP アドレス 169.254.169.254 で実行されます。この IP アドレスは、インスタンスで実行されるソフトウェアによってのみアクセスできます。

のバージョン 2 では、次のタイプの脆弱性に対する新しい保護IMDSが追加されています。これらの脆弱性は、 へのアクセスを試みるために使用できますIMDS。

  • ウェブサイトアプリケーションのファイアウォールを開く

  • リバースプロキシを開く

  • サーバー側のリクエスト偽造 (SSRF) の脆弱性

  • Open Layer 3 ファイアウォールとネットワークアドレス変換 (NAT)

Security Hub では、EC2インスタンスを で設定することをお勧めしますIMDSv2。

修正

でEC2インスタンスを設定するにはIMDSv2、「Amazon ユーザーガイド」の「 が必要とする推奨パスIMDSv2」を参照してください。 EC2

〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください

関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度:

リソースタイプ : AWS::EC2::Instance

AWS Config ルール : ec2-instance-no-public-ip

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、EC2インスタンスにパブリック IP アドレスがあるかどうかをチェックします。publicIp フィールドがEC2インスタンス設定項目に存在する場合、コントロールは失敗します。このコントロールはIPv4アドレスにのみ適用されます。

パブリックIPv4アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してインスタンスを起動すると、EC2インスタンスはインターネットからアクセスできます。プライベートIPv4アドレスは、インターネットからアクセスできない IP アドレスです。プライベートIPv4アドレスは、同じ VPCまたは接続されたプライベートネットワーク内のEC2インスタンス間の通信に使用できます。

IPv6 アドレスはグローバルに一意であるため、インターネットからアクセスできます。ただし、デフォルトでは、すべてのサブネットのIPv6アドレス属性が false に設定されています。の詳細についてはIPv6、「Amazon ユーザーガイド」の「 での IP アドレス指定VPC」を参照してください。 VPC

パブリック IP アドレスを持つEC2インスタンスを維持する正当なユースケースがある場合は、このコントロールの結果を抑制できます。フロントエンドアーキテクチャオプションの詳細については、AWS 「 アーキテクチャブログ」または「This Is My Architecture シリーズ AWS 」のビデオシリーズを参照してください。

修正

インスタンスにデフォルトでパブリック IP アドレスが割り当てられVPCないように、デフォルト以外の を使用します。

EC2 インスタンスをデフォルトの で起動するとVPC、パブリック IP アドレスが割り当てられます。デフォルト以外の でEC2インスタンスを起動するとVPC、サブネット設定によってパブリック IP アドレスが受信されるかどうかが決まります。サブネットには、サブネット内の新しいEC2インスタンスがパブリックアドレスプールからパブリック IP IPv4 アドレスを受信するかどうかを判断する 属性があります。

自動的に割り当てられたパブリック IP アドレスをEC2インスタンスから手動で関連付けたり、関連付けを解除したりすることはできません。EC2 インスタンスがパブリック IP アドレスを受け取るかどうかを制御するには、次のいずれかを実行します。

詳細については、「Amazon EC2ユーザーガイド」の「パブリックIPv4アドレスと外部DNSホスト名」を参照してください。

EC2 インスタンスが Elastic IP アドレスに関連付けられている場合、EC2インスタンスはインターネットからアクセスできます。インスタンスまたはネットワークインターフェイスから Elastic IP アドレスの関連付けをいつでも解除できます。Elastic IP アドレスの関連付けを解除するには、「Amazon ユーザーガイド」の「Elastic IP アドレスの関連付けを解除する」を参照してください。 EC2

〔EC2.10] Amazon は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定EC2する必要があります

関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)

カテゴリ: 保護 > 安全なネットワーク設定 > APIプライベートアクセス

重要度:

リソースタイプ : AWS::EC2::VPC

AWS Config ルール : service-vpc-endpoint-enabled

スケジュールタイプ : 定期的

パラメータ:

  • serviceName: ec2 (カスタマイズ不可)

このコントロールは、Amazon のサービスエンドポイントEC2が ごとに作成されているかどうかをチェックしますVPC。に Amazon EC2サービス用に作成されたVPCエンドポイントがない場合、コントロールVPCは失敗します。

このコントロールは、単一のアカウントのリソースを評価します。アカウント外のリソースは記述できません。 AWS Config と Security Hub はクロスアカウントチェックを行わないため、アカウント間で共有VPCsされている FAILEDの検出結果が表示されます。Security Hub では、これらの FAILED 結果を抑制することを推奨します。

のセキュリティ体制を向上させるためにVPC、インターフェイスVPCエンドポイントを使用するEC2ように Amazon を設定できます。インターフェイスエンドポイントは AWS PrivateLink、Amazon EC2APIオペレーションにプライベートにアクセスできるテクノロジーである を利用しています。これにより、 VPCと Amazon 間のすべてのネットワークトラフィックが Amazon EC2 ネットワークに制限されます。エンドポイントは同じリージョン内でのみサポートされるため、 VPCと別のリージョンのサービスとの間にエンドポイントを作成することはできません。これにより、他の リージョンへの意図しない Amazon EC2API呼び出しを防ぐことができます。

Amazon のVPCエンドポイントの作成の詳細についてはEC2、「Amazon ユーザーガイド」の「Amazon EC2およびインターフェイスVPCエンドポイント」を参照してください。 EC2

修正

Amazon VPCコンソールEC2から Amazon へのインターフェイスエンドポイントを作成するには、「 ガイド」のVPC「エンドポイントの作成」を参照してください。 AWS PrivateLink サービス名 でcom.amazonaws を選択します。region.ec2

エンドポイントポリシーを作成してVPCエンドポイントにアタッチし、Amazon EC2 へのアクセスを制御することもできますAPI。VPC エンドポイントポリシーの作成手順については、「Amazon ユーザーガイド」の「エンドポイントポリシーの作成」を参照してください。 EC2

〔EC2.12] 未使用の Amazon は削除EC2EIPsする必要があります

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::EC2::EIP

AWS Config ルール : eip-attached

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 に割り当てられた Elastic IP (EIP) アドレスがEC2インスタンスにアタッチVPCされているか、使用中の Elastic Network Interface () にアタッチされているかをチェックしますENIs。

検出に失敗した場合は、未使用の EC2 がある可能性がありますEIPs。

これにより、カード所有者データ環境 () EIPs で の正確なアセットインベントリを維持できますCDE。

未使用の をリリースするにはEIP、「Amazon ユーザーガイド」の「Elastic IP アドレスを解放する」を参照してください。 EC2

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

関連する要件: CIS AWS Foundations Benchmark v1.2.0/4.1、PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/2.2.2、 NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : restricted-ssh

スケジュールタイプ: トリガーされた変更と定期的な変更

パラメータ : なし

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 22 への無制限の入力を許可しません。などのリモートコンソールサービスへの無制限の接続を削除すると、サーバーがリスクにさらされる可能性がSSH軽減されます。

修正

ポート 22 への進入を禁止するには、 に関連付けられた各セキュリティグループに対してそのようなアクセスを許可するルールを削除しますVPC。手順については、「Amazon ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。 EC2 Amazon EC2コンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集 を選択します。ポート 22 へのアクセスを許可するルールを削除します。

〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください

関連する要件: CIS AWS Foundations Benchmark v1.2.0/4.2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール: restricted-common-ports (作成されたルールは restricted-rdp

スケジュールタイプ: 変更がトリガーされ、定期的に行われる

パラメータ : なし

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 3389 への無制限の入力を許可しません。などのリモートコンソールサービスへの無制限の接続を削除すると、サーバーがリスクにさらされる可能性がRDP軽減されます。

修正

ポート 3389 への進入を禁止するには、 に関連付けられた各セキュリティグループに対してそのようなアクセスを許可するルールを削除しますVPC。手順については、「Amazon ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。 VPC Amazon VPCコンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集 を選択します。ポート 3389 へのアクセスを許可するルールを削除します。

〔EC2.15] Amazon EC2サブネットはパブリック IP アドレスを自動的に割り当てないでください

関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4、(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3) NIST.800-53.r5 SC-7、(4)、 NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > ネットワークセキュリティ

重要度:

リソースタイプ : AWS::EC2::Subnet

AWS Config ルール : subnet-auto-assign-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネットIPs内のパブリック の割り当てが を MapPublicIpOnLaunchに設定しているかどうかをチェックしますFALSE。フラグが FALSE に設定されている場合、コントロールは成功します。

すべてのサブネットには、サブネット内に作成されたネットワークインターフェイスがパブリックIPv4アドレスを自動的に受信するかどうかを決定する 属性があります。この属性が有効になっているサブネットで起動されるインスタンスには、プライマリアネットワークインターフェイスに割り当てられるパブリック IP アドレスが割り当てられます。

修正

パブリック IP アドレスを割り当てないようにサブネットを設定するには、「Amazon VPC ユーザーガイド」の「サブネットのパブリックIPv4アドレス属性の変更」を参照してください。パブリックIPv4アドレスの自動割り当てを有効にする のチェックボックスをオフにします。

〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります

関連する要件: NIST.800-53.r5 CM-8(1)

カテゴリ: 保護 > ネットワークセキュリティ

重要度:

リソースタイプ : AWS::EC2::NetworkAcl

AWS Config ルール : vpc-network-acl-unused-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、仮想プライベートクラウド (ACLs) に未使用のネットワークアクセスコントロールリスト (ネットワーク ) があるかどうかを確認しますVPC。ネットワークACLがサブネットに関連付けられていない場合、コントロールは失敗します。コントロールは、未使用のデフォルトネットワーク の検出結果を生成しませんACL。

コントロールは、リソースの項目設定をチェックAWS::EC2::NetworkAclし、ネットワーク の関係を決定しますACL。

唯一の関係がネットワーク VPCの である場合ACL、コントロールは失敗します。

他の関係がリスト済みの場合、コントロールは成功します。

修正

未使用のネットワーク を削除する手順についてはACL、「Amazon ユーザーガイド」の「ネットワークの削除ACL」を参照してください。 VPC デフォルトのネットワークACLやサブネットに関連付けられている ACLは削除できません。

〔EC2.17] Amazon EC2インスタンスは複数の を使用しないでください ENIs

関連する要件: NIST.800-53.r5 AC-4 (21)

カテゴリ: 保護 > ネットワークセキュリティ

重要度:

リソースタイプ : AWS::EC2::Instance

AWS Config ルール : ec2-instance-multiple-eni-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、EC2インスタンスが複数の Elastic Network Interface (ENIs) または Elastic Fabric Adapter () を使用しているかどうかをチェックしますEFAs。このコントロールは、単一のネットワークアダプタが使用されている場合に成功します。コントロールには、許可された を識別するためのオプションのパラメータリストが含まれていますENIs。Amazon EKSクラスターに属するEC2インスタンスが複数の を使用している場合も、このコントロールは失敗しますENI。EC2 インスタンスに Amazon EKSクラスターENIsの一部として複数の が必要な場合は、これらのコントロールの検出結果を抑制できます。

複数の はデュアルホームインスタンスを引き起こすENIs可能性があります。つまり、複数のサブネットを持つインスタンスです。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。

修正

EC2 インスタンスからネットワークインターフェイスをデタッチするには、「Amazon ユーザーガイド」の「インスタンスからネットワークインターフェイスをデタッチする」を参照してください。 EC2

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

関連する要件: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 (16)、 NIST.800-53.r5 SC-7(21) NIST.800-53.r5 SC-7、 (4)、 NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度:

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : vpc-sg-open-only-to-authorized-ports

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

authorizedTcpPorts

認可されたTCPポートのリスト

IntegerList (最小 1 項目、最大 32 項目)

165535

[80,443]

authorizedUdpPorts

認可されたUDPポートのリスト

IntegerList (最小 1 項目、最大 32 項目)

165535

デフォルト値なし

このコントロールは、Amazon EC2 セキュリティグループが不正なポートからの無制限の受信トラフィックを許可しているかどうかをチェックします。コントロールのステータスは次のように決定されます。

  • authorizedTcpPorts のデフォルト値を使用する場合、セキュリティグループがポート 80 およびポート 443 以外のポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。

  • authorizedTcpPorts または authorizedUdpPorts にカスタム値を指定した場合、セキュリティグループがリストにないポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。

  • パラメータを使用しない場合、無制限のインバウンドトラフィックルールを持つセキュリティグループに対してコントロールが失敗します。

セキュリティグループは、 AWSへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループのルールは、最小特権アクセスのプリンシパルに従う必要があります。無制限アクセス (/0 サフィックスが付いた IP アドレス) は、ハッキング、 denial-of-service 攻撃、データ損失などの悪意のあるアクティビティの可能性を高めます。ポートが特別に許可されていない限り、ポートは無制限アクセスを拒否する必要があります。

修正

セキュリティグループを変更するには、「Amazon ユーザーガイド」の「セキュリティグループの使用」を参照してください。 VPC

〔EC2.19] セキュリティグループは、高リスクのポートへの無制限アクセスを許可しないでください

関連する要件: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 CA-9(1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、 (21) NIST.800-53.r5 SC-7、 (4)、 NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > 制限付きネットワークアクセス

重要度: 非常事態

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール: restricted-common-ports (作成されたルールは vpc-sg-restricted-common-ports

スケジュールタイプ: 変更がトリガーされ、定期的に行われる

パラメータ: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (カスタマイズ不可)

このコントロールは、Amazon EC2 セキュリティグループの無制限の受信トラフィックが、高リスクと見なされる指定されたポートにアクセスできるかどうかをチェックします。セキュリティグループ内のルールがこれらのポートへの「0.0.0.0/0」または「::/0」からの入力トラフィックを許可している場合、このコントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。無制限アクセス (0.0.0.0/0) は、ハッキング、 denial-of-service 攻撃、データ損失などの悪意のあるアクティビティの機会を増やします。どのセキュリティグループでも、以下のポートへの無制限の入力アクセスを許可してはいけません。

  • 20、21 (FTP)

  • 22 (SSH)

  • 23 (Telnet)

  • 25 (SMTP)

  • 110 (POP3)

  • 135 (RPC)

  • 143 (IMAP)

  • 445 (CIFS)

  • 1433、1434 (MSSQL)

  • 3000 (Go、Node.js、および Ruby のウェブ開発フレームワーク)

  • 3306 (自分の SQL)

  • 3389 (RDP)

  • 4333 (ahsp)

  • 5000 (Python ウェブ開発フレームワーク)

  • 5432 (postgresql)

  • 5500 (fcp-addr-srvr1)

  • 5601 (OpenSearch ダッシュボード)

  • 8080 (proxy)

  • 8088 (レガシーHTTPポート)

  • 8888 (代替HTTPポート)

  • 9200 または 9300 (OpenSearch)

修正

セキュリティグループからルールを削除するには、「Amazon ユーザーガイド」の「セキュリティグループからルールを削除する」を参照してください。 EC2

〔EC2.20] AWS Site-to-Site VPN接続VPNのトンネルは両方とも起動している必要があります

関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ: AWS::EC2::VPNConnection

AWS Config ルール : vpc-vpn-2-tunnels-up

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

VPN トンネルは、顧客ネットワークから AWS Site-to-Site VPN接続 AWS との間でデータを渡すことができる暗号化されたリンクです。各VPN接続には 2 つのVPNトンネルが含まれており、これらを同時に使用して高可用性を実現できます。とリモートネットワーク間の AWS VPC安全で可用性の高いVPN接続を確認するには、両方のVPNトンネルが接続用に稼働していることを確認することが重要です。

このコントロールは、 AWS Site-to-Site によって提供される両方のVPNトンネルVPNが UP ステータスであることを確認します。一方または両方のトンネルが DOWNステータスの場合、コントロールは失敗します。

修正

VPN トンネルオプションを変更するには、 Site-to-Site ユーザーガイドの「Site-to-Site VPNトンネルオプションの変更VPN」を参照してください。 AWS

〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください

関連する要件: CIS AWS Foundations Benchmark v1.4.0/5.1、 CIS AWS Foundations Benchmark v3.0.0/5.1、 NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::EC2::NetworkAcl

AWS Config ルール : nacl-no-unrestricted-ssh-rdp

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、ネットワークアクセスコントロールリスト (ネットワーク ACL) が SSH/RDP Ingress トラフィックのデフォルトTCPポートへの無制限アクセスを許可しているかどうかをチェックします。ネットワークACLインバウンドエントリがTCPポート 22 または 3389 に対して「0.0.0.0/0」または「::/0」のソースCIDRブロックを許可している場合、コントロールは失敗します。コントロールは、デフォルトのネットワーク の検出結果を生成しませんACL。

ポート 22 (SSH) やポート 3389 (RDP) などのリモートサーバー管理ポートへのアクセスは、 内のリソースへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要がありますVPC。

修正

ネットワークACLトラフィックルールを編集するには、「Amazon ユーザーガイド」の「ネットワークACLsの使用」を参照してください。 VPC

〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

重要

RETIRED FROM SPECIFIC STANDARDS – Security Hub は、2023 年 9 月 20 日に AWS Foundational Security Best Practices 標準および NIST SP 800-53 Rev. 5 からこのコントロールを削除しました。このコントロールは、引き続きサービスマネージドスタンダード: の一部です AWS Control Tower。このコントロールは、セキュリティグループがEC2インスタンスまたは Elastic Network Interface にアタッチされている場合に、合格の検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。EC2.2、.EC213、.14、.1EC28、EC2.1EC29 などの他のEC2コントロールを使用して、セキュリティグループをモニタリングできます。

カテゴリ: 識別 > インベントリ

重要度:

リソースタイプ:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

AWS Config ルール : ec2-security-group-attached-to-eni-periodic

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、セキュリティグループが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは Elastic Network Interface にアタッチされているかどうかをチェックします。セキュリティグループが Amazon EC2インスタンスまたは Elastic Network Interface に関連付けられていない場合、コントロールは失敗します。

修正

セキュリティグループを作成、割り当て、削除するには、「Amazon ユーザーガイド」の「セキュリティグループEC2」を参照してください。

〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

関連する要件: NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::EC2::TransitGateway

AWS Config ルール : ec2-transit-gateway-auto-vpc-attach-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、EC2トランジットゲートウェイが共有VPCアタッチメントを自動的に受け入れているかどうかを確認します。このコントロールは、共有VPCアタッチメントリクエストを自動的に受け入れるトランジットゲートウェイでは失敗します。

をオンにすると、リクエストまたはVPCアタッチメントの送信元のアカウントを検証せずに、クロスアカウントアタッチメントリクエストを自動的に受け入れるようにトランジットゲートウェイがAutoAcceptSharedAttachments設定されます。承認と認証のベストプラクティスに従うため、この機能をオフにして、承認されたVPC添付ファイルリクエストのみが受け入れられるようにすることをお勧めします。

修正

トランジットゲートウェイを変更するには、「Amazon デベロッパーガイド」の「トランジットゲートウェイの変更」を参照してください。 VPC

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

関連する要件: NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度:

リソースタイプ: AWS::EC2::Instance

AWS Config ルール : ec2-paravirtual-instance-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、EC2インスタンスの仮想化タイプが準仮想化であるかどうかをチェックします。EC2 インスタンスvirtualizationTypeの が に設定されている場合、コントロールは失敗しますparavirtual

Linux Amazon マシンイメージ (AMIs) は、準仮想化 (PV) またはハードウェア仮想マシン () の 2 種類の仮想化のいずれかを使用しますHVM。PV と の主な違いHVMAMIsは、起動方法と、パフォーマンスを向上させるために特別なハードウェア拡張 (CPU、ネットワーク、ストレージ) を利用できるかどうかです。

従来、PV のゲストは多くの場合、HVMゲストよりもパフォーマンスが優れていましたが、HVM仮想化の強化と HVM の PV ドライバーの可用性のためAMIs、これはもはや当てはまりません。詳細については、「Amazon ユーザーガイド」の「Linux AMI仮想化タイプEC2」を参照してください。

修正

EC2 インスタンスを新しいインスタンスタイプに更新するには、「Amazon ユーザーガイド」の「インスタンスタイプを変更する」を参照してください。 EC2

〔EC2.25] Amazon EC2起動テンプレートは、パブリックIPsをネットワークインターフェイスに割り当てないでください

関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4、(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3) NIST.800-53.r5 SC-7、(4)、 NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度:

リソースタイプ: AWS::EC2::LaunchTemplate

AWS Config ルール : ec2-launch-template-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EC2起動テンプレートが起動時にネットワークインターフェイスにパブリック IP アドレスを割り当てるように設定されているかどうかを確認します。ネットワークインターフェイスにパブリック IP アドレスを割り当てるようにEC2起動テンプレートが設定されている場合、またはパブリック IP アドレスを持つネットワークインターフェイスが少なくとも 1 つある場合、コントロールは失敗します。

パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースは、インターネットからアクセスできる可能性があります。EC2 リソースは、ワークロードへの意図しないアクセスを許可する可能性があるため、パブリックにアクセス可能にしないでください。

修正

EC2 起動テンプレートを更新するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「デフォルトのネットワークインターフェイス設定を変更する」を参照してください。

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13 (5)

重要度:

リソースタイプ : AWS::EC2::Volume

AWS Config ルール: ebs-resources-protected-by-backup-plan

スケジュールタイプ : 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

backupVaultLockCheck

パラメータが に設定trueされ、リソースが AWS Backup ボールトロックを使用する場合、コントロールはPASSED結果を生成します。

ブール値

true、または false

デフォルト値なし

このコントロールは、 in-use状態の Amazon EBSボリュームがバックアッププランの対象であるかどうかを評価します。EBS ボリュームがバックアッププランの対象でない場合、コントロールは失敗します。backupVaultLockCheck パラメータを に設定するとtrue、EBSボリュームが AWS Backup ロックされたボールトにバックアップされている場合にのみコントロールが成功します。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。バックアッププランに Amazon EBSボリュームを含めると、意図しない損失や削除からデータを保護するのに役立ちます。

修正

Amazon EBSボリュームを AWS Backup バックアッププランに追加するには、「 AWS Backup デベロッパーガイド」の「バックアッププランへのリソースの割り当て」を参照してください。

〔EC2.33] EC2 トランジットゲートウェイアタッチメントにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::TransitGatewayAttachment

AWS Config ルール: tagged-ec2-transitgatewayattachment (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2 Transit Gateway アタッチメントに、パラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Transit Gateway アタッチメントにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、トランジットゲートウェイアタッチメントにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 Transit Gateway アタッチメントにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.34] EC2トランジットゲートウェイルートテーブルにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::TransitGatewayRouteTable

AWS Config ルール: tagged-ec2-transitgatewayroutetable (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2 Transit Gateway ルートテーブルに、パラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Transit Gateway ルートテーブルにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、トランジットゲートウェイルートテーブルにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 トランジットゲートウェイルートテーブルにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.35] EC2ネットワークインターフェイスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::NetworkInterface

AWS Config ルール: tagged-ec2-networkinterface (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2ネットワークインターフェイスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ネットワークインターフェイスにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ネットワークインターフェイスにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 ネットワークインターフェイスにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.36] EC2カスタマーゲートウェイにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::CustomerGateway

AWS Config ルール: tagged-ec2-customergateway (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2カスタマーゲートウェイにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。カスタマーゲートウェイにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、カスタマーゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 カスタマーゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::EIP

AWS Config ルール: tagged-ec2-eip (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2 Elastic IP アドレスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Elastic IP アドレスにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、Elastic IP アドレスにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Elastic IP アドレスにタグを追加するには、「Amazon EC2 ユーザーガイド」の「Amazon リソースにタグを付けるEC2」を参照してください。 EC2

〔EC2.38] EC2インスタンスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::Instance

AWS Config ルール: tagged-ec2-instance (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2インスタンスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。インスタンスにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、インスタンスにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 インスタンスにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::InternetGateway

AWS Config ルール: tagged-ec2-internetgateway (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2 インターネットゲートウェイにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。インターネットゲートウェイにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、インターネットゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 インターネットゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::NatGateway

AWS Config ルール: tagged-ec2-natgateway (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2ネットワークアドレス変換 (NAT) ゲートウェイに、パラメータ で定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。NAT ゲートウェイにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、NATゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 NAT ゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.41] EC2ネットワークにはタグを付けるACLs必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::NetworkAcl

AWS Config ルール: tagged-ec2-networkacl (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2ネットワークアクセスコントロールリスト (ネットワーク ACL) に、パラメータ で定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。ネットワークにタグキーACLがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ネットワークにキーがタグ付けされていない場合ACLは失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 ネットワーク にタグを追加するにはACL、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.42] EC2ルートテーブルにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::RouteTable

AWS Config ルール: tagged-ec2-routetable (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2ルートテーブルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ルートテーブルにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ルートテーブルにキーがタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 ルートテーブルにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.43] EC2 セキュリティグループにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール: tagged-ec2-securitygroup (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2 セキュリティグループにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。セキュリティグループにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、セキュリティグループにキーがタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 セキュリティグループにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.44] EC2サブネットにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::Subnet

AWS Config ルール: tagged-ec2-subnet (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2 サブネットにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。サブネットにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、サブネットにキーがタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 サブネットにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.45] EC2ボリュームにはタグ付けする必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::Volume

AWS Config ルール: tagged-ec2-subnet (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2ボリュームにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ボリュームにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ボリュームにキーがタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 ボリュームにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.46] Amazon にはタグを付けるVPCs必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::VPC

AWS Config ルール: tagged-ec2-vpc (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) に、パラメータ で定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。Amazon にタグキーVPCがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、Amazon がキーでタグ付けされていない場合VPCは失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

にタグを追加するにはVPC、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.47] Amazon VPCエンドポイントサービスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::VPCEndpointService

AWS Config ルール: tagged-ec2-vpcendpointservice (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon VPCエンドポイントサービスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。エンドポイントサービスにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、エンドポイントサービスにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Amazon VPCエンドポイントサービスにタグを追加するには、「 AWS PrivateLink ガイド」の「エンドポイントサービスの設定」セクションの「タグの管理」を参照してください。 https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html

〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::FlowLog

AWS Config ルール: tagged-ec2-flowlog (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon VPCフローログにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。フローログにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、フローログにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Amazon VPCフローログにタグを追加するには、「Amazon ユーザーガイド」の「フローログにタグを付けるVPC」を参照してください。

〔EC2.49] Amazon VPCピアリング接続にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::VPCPeeringConnection

AWS Config ルール: tagged-ec2-vpcpeeringconnection (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon VPCピアリング接続にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ピアリング接続にタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ピアリング接続にキーのタグが付けられていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Amazon VPCピアリング接続にタグを追加するには、「Amazon EC2ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。

〔EC20.50] EC2VPNゲートウェイにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::VPNGateway

AWS Config ルール: tagged-ec2-vpngateway (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2VPNゲートウェイにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。VPN ゲートウェイにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、VPNゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 VPN ゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

関連する要件: NIST.800-53.r5 AC-2 (12)、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7、 (9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::EC2::ClientVpnEndpoint

AWS Config ルール: ec2-client-vpn-connection-log-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS Client VPN エンドポイントでクライアント接続のログ記録が有効になっているかどうかをチェックします。エンドポイントでクライアント接続ログ記録が有効になっていない場合、コントロールは失敗します。

クライアントVPNエンドポイントを使用すると、リモートクライアントは の仮想プライベートクラウド (VPC) のリソースに安全に接続できます AWS。接続ログを使用すると、VPNエンドポイントでのユーザーアクティビティを追跡し、可視性を得ることができます。接続ログを有効にすると、ロググループ内のログストリームの名前を指定できます。ログストリームを指定しない場合、クライアントVPNサービスはログストリームを作成します。

修正

接続ログ記録を有効にするには、「 AWS Client VPN 管理者ガイド」の「既存のクライアントVPNエンドポイントの接続ログ記録を有効にする」を参照してください。

〔EC2.52] EC2トランジットゲートウェイにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::EC2::TransitGateway

AWS Config ルール: tagged-ec2-transitgateway (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、Amazon EC2 Transit Gateway にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Transit Gateway にタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、トランジットゲートウェイにキーがタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EC2 トランジットゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください

関連する要件: CIS AWS Foundations Benchmark v3.0.0/5.2

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度:

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : vpc-sg-port-restriction-check

スケジュールタイプ : 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

ipType

IP バージョン

文字列

カスタマイズ不可

IPv4

restrictPorts

イングレストラフィックを拒否するポートのリスト

IntegerList

カスタマイズ不可

22,3389

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポート (ポート 22 および 3389) への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 からポート 22 または 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングします。(6)、UDP(17)、または TDP (ALL-1) プロトコルのいずれかを使用して、SSHポート 22 やポート 3389 などのリモートサーバー管理ポートRDPへの無制限の進入アクセスを許可しないことをお勧めします。これらのポートへのパブリックアクセスを許可すると、リソースアタックサーフェスが増加し、リソースが侵害されるリスクが高まります。

修正

指定されたポートへの進入トラフィックを禁止するようにEC2セキュリティグループルールを更新するには、「Amazon ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。 EC2 Amazon EC2コンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集 を選択します。ポート 22 またはポート 3389 へのアクセスを許可するルールを削除します。

〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

関連する要件: CIS AWS Foundations Benchmark v3.0.0/5.3

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度:

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : vpc-sg-port-restriction-check

スケジュールタイプ : 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

ipType

IP バージョン

文字列

カスタマイズ不可

IPv6

restrictPorts

イングレストラフィックを拒否するポートのリスト

IntegerList

カスタマイズ不可

22,3389

このコントロールは、Amazon EC2 セキュリティグループが ::/0 からリモートサーバー管理ポート (ポート 22 および 3389) への入力を許可しているかどうかをチェックします。セキュリティグループが ::/0 からポート 22 または 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングします。(6)、UDP(17)、または TDP (ALL-1) プロトコルのいずれかを使用して、SSHポート 22 やポート 3389 などのリモートサーバー管理ポートRDPへの無制限の進入アクセスを許可しないことをお勧めします。これらのポートへのパブリックアクセスを許可すると、リソースアタックサーフェスが増加し、リソースが侵害されるリスクが高まります。

修正

指定されたポートへの進入トラフィックを禁止するようにEC2セキュリティグループルールを更新するには、「Amazon ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。 EC2 Amazon EC2コンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集 を選択します。ポート 22 またはポート 3389 へのアクセスを許可するルールを削除します。