Amazon Elastic Compute Cloud コントロール

これらのコントロールは Amazon EC2 リソースに関連しています。

これらのコントロールは、すべてので利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 非常事態

リソースタイプ: AWS::::Account

AWS Config ルール: ebs-snapshot-public-restorable-check

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、Amazon Elastic Block Store スナップショットがパブリックではないかどうかをチェックします。Amazon EBS スナップショットを誰でも復元できる場合、コントロールは失敗します。

EBS スナップショットは、特定の時点の EBS ボリュームのデータを Amazon S3 にバックアップするために使用されます。スナップショットを使用して、EBS ボリュームを以前の状態に復元できます。スナップショットのパブリックへの共有は滅多に認められていません。一般的に、スナップショットを公開する決定は、誤って行われたか、影響を完全に理解せずに行われています。このチェックは、そのような共有がすべて完全に計画され、意図的であったことを確認するのに役立ちます。

パブリック EBS スナップショットをプライベートにするには、「Amazon EC2 ユーザーガイド」の「スナップショットの共有」を参照してください。 Amazon EC2 [アクション、権限の変更] で、[非公開] を選択します。

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

関連する要件： PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS AWS Foundations Benchmark v1.2.0/4.3、CIS AWS Foundations Benchmark v1.4.0/5.3、CIS AWS Foundations Benchmark v3.0.0/5.4、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(1 SC-7 SC-7 SC-76

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール : vpc-default-security-group-closed

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、VPC のデフォルトのセキュリティグループがインバウンドとアウトバウンドのいずれかのトラフィックを許可しているかをチェックします。セキュリティグループがインバウンドまたはアウトバウンドのトラフィックを許可している場合、このコントロールは失敗します。

デフォルトのセキュリティグループのルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのアウトバウンドトラフィックとインバウンドトラフィックを許可します。デフォルトのセキュリティグループを使用しないことをお勧めします。デフォルトのセキュリティグループは削除できないため、デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。これにより、デフォルトのセキュリティグループが EC2 インスタンスなどのリソースに対して誤って設定されている場合に、意図しないトラフィックが防止されます。

修正

この問題を解決するには、まず新しい最小特権のセキュリティグループを作成することから始めます。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループの作成」を参照してください。次に、新しいセキュリティグループを EC2 インスタンスに割り当てます。手順については、Amazon EC2 ユーザーガイド」の「インスタンスのセキュリティグループを変更する」を参照してください。

新しいセキュリティグループをリソースに割り当てた後、デフォルトのセキュリティグループからすべてのインバウンドルールとアウトバウンドルールを削除します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールの削除」を参照してください。

[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ： 保護 > データ保護 > の暗号化 data-at-rest

重要度: 中

リソースタイプ: AWS::EC2::Volume

AWS Config ルール : encrypted-volumes

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、添付済みの EBS ボリュームが暗号化されているかどうかをチェックします。このチェックに合格するには、EBS ボリュームが使用中であり、暗号化されている必要があります。EBS ボリュームが添付済みでない場合、このチェックは対象外です。

EBS ボリュームの機密データのセキュリティを強化するには、保管中の EBS 暗号化を有効にする必要があります。Amazon EBS 暗号化は、EBS リソースに対して、独自のキー管理インフラストラクチャの構築、保守、および保護を必要としない、簡単な暗号化ソリューションを提供します。暗号化されたボリュームとスナップショットを作成する際に、KMS キーを使用します。

Amazon EBS 暗号化の詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EBS 暗号化」を参照してください。 Amazon EC2

修正

暗号化されていない既存のボリュームまたはスナップショットを暗号化する直接的な方法はありません。新しいボリュームまたはスナップショットは、作成時にのみ暗号化できます。

暗号化をデフォルトで有効にした場合、Amazon EBS は Amazon EBS 暗号化のデフォルトキーを使用して、作成された新しいボリュームまたはスナップショットを暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。どちらの場合も、Amazon EBS 暗号化のデフォルトキーを上書きし、対称カスタマーマネージドキーを選択できます。

詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EBS ボリュームAmazon EC2の作成」および「Amazon EBS スナップショットのコピー」を参照してください。

[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 識別 > インベントリ

重要度: 中

リソースタイプ: AWS::EC2::Instance

AWS Config ルール: ec2-stopped-instance

スケジュールタイプ: 定期的

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`AllowedDays`	失敗の検出結果が生成される前に、EC2 インスタンスが停止状態になっても許容される日数。	整数	`1`～`365`	`30`

このコントロールは、許可されている日数よりも長く停止している Amazon EC2 インスタンスがあるかどうかをチェックします。EC2 インスタンスが最大許容期間よりも長く停止すると、コントロールは失敗します。最大許容期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 30 日を使用します。

EC2 インスタンスが長期間実行されていないと、インスタンスがアクティブに保守 (分析、パッチ適用、更新) されていないため、セキュリティリスクが発生します。後で起動すると、適切なメンテナンスが行われないと、 AWS 環境で予期しない問題が発生する可能性があります。EC2 インスタンスを非アクティブ状態で長期間安全に維持するには、メンテナンスのために定期的に起動し、メンテナンス後に停止します。これは自動化されたプロセスであるべきです。

修正

非アクティブな EC2 インスタンスを終了するには、「Amazon EC2 ユーザーガイド」の「インスタンスの終了」を参照してください。 Amazon EC2

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

関連する要件： CIS AWS Foundations Benchmark v1.2.0/2.9、CIS AWS Foundations Benchmark v1.4.0/3.9、CIS AWS Foundations Benchmark v3.0.0/3.7、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、NIST.800-53.r5 AC-4(26)10.3.6、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-6AU-3 AU-6 CA-7 SI-7

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ: AWS::EC2::VPC

AWS Config ルール: vpc-flow-logs-enabled

スケジュールタイプ: 定期的

パラメータ:

trafficType: REJECT (カスタマイズ不可)

このコントロールは、Amazon VPC フローログが見つかり、VPC に対して有効になっているかどうかをチェックします。トラフィックタイプは Reject に設定されています。

VPC フローログ機能を使用して、VPC のネットワークインターフェイスとの間で行き来する IP アドレストラフィックに関する情報をキャプチャします。フローログを作成したら、そのデータを CloudWatch Logs で表示および取得できます。コストを削減するために、フローログを Amazon S3 に送信することもできます。

Security Hub では、VPC のパケット拒否のフローログ記録を有効にすることを推奨します。フローログは、VPC を通過するネットワークトラフィックを可視化し、セキュリティワークフロー中の異常なトラフィックを検出したりインサイトを提供できます。

デフォルトでは、レコードには送信元、送信先、プロトコルなど、IP アドレスフローのさまざまなコンポーネントの値が含まれています。ログフィールドの詳細と説明については、「Amazon VPC ユーザーガイド」の「VPC フローログ」を参照してください。

修正

VPC フローログを作成するには、「Amazon VPC ユーザーガイド」の「VPC フローログを作成する」を参照してください。Amazon VPC コンソールを開いたら、[お客様の VPC] を選択します。[フィルター] で、[拒否] または [すべて] を選択します。

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

関連する要件： CIS AWS Foundations Benchmark v1.4.0/2.2.1、CIS AWS Foundations Benchmark v3.0.0/2.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ： 保護 > データ保護 > の暗号化 data-at-rest

重要度: 中

リソースタイプ: AWS::::Account

AWS Config ルール: ec2-ebs-encryption-by-default

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、Amazon Elastic Block Store (Amazon EBS) でアカウントレベルの暗号化がデフォルトで有効になっているかどうかをチェックします。アカウントレベルの暗号化が有効になっていない場合、コントロールは失敗します。

アカウントで暗号化が有効になっている場合、Amazon EBS ボリュームとスナップショットのコピーは保管中に暗号化されます。これにより、データの保護レイヤーが追加されます。詳細については、「Amazon EC2 ユーザーガイド」の「デフォルトで暗号化」を参照してください。

次のインスタンスタイプでは暗号化がサポートされないことに注意してください: R1、C1、および M1。

修正

Amazon EBS ボリュームのデフォルトの暗号化を設定するには、「Amazon EC2 ユーザーガイド」の「デフォルトでの暗号化」を参照してください。 Amazon EC2

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

関連する要件： CIS AWS Foundations Benchmark v3.0.0/5.6、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

カテゴリ： 保護 > ネットワークセキュリティ

重要度: 高

リソースタイプ: AWS::EC2::Instance

AWS Config ルール : ec2-imdsv2-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、EC2 インスタンスメタデータバージョンが、インスタンスメタデータサービスバージョン 2 (IMDSv2) で設定されているかどうかをチェックします。IMDSv2 で HttpTokens が必須に設定されている場合、コントロールは成功します。HttpTokens が optional に設定されている場合、コントロールは失敗します。

インスタンスメタデータは、実行中のインスタンスを設定または管理するために使用します。IMDS は、一時的で頻繁にローテーションされる認証情報へのアクセスを提供します。これらの認証情報を使用すると、機密認証情報を手動でまたはプログラムでインスタンスにハードコーディングや、配信する必要がなくなります。IMDS は、すべての EC2 インスタンスにローカルに添付されます。これは、特別な「リンクローカル」IP アドレス 169.254.169.254 で実行されます。この IP アドレスは、インスタンスで実行されるソフトウェアによってのみアクセスできます。

IMDS のバージョン 2 では、次の種類の脆弱性に対する新しい保護が追加されています。これらの脆弱性は IMDS へのアクセスに利用される可能性があります。

ウェブサイトアプリケーションのファイアウォールを開く
リバースプロキシを開く
サーバー側リクエスト偽造 (SSRF) の脆弱性
レイヤー 3 ファイアウォールおよびネットワークアドレス変換 (NAT) を開く

Security Hub では、EC2 インスタンスを IMDSv2 で設定することを推奨します。

修正

IMDSv2 で EC2 インスタンスを設定するには、「Amazon EC2 ユーザーガイド」のIMDSv2を要求する推奨パス」を参照してください。 IMDSv2 Amazon EC2

[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 高

リソースタイプ: AWS::EC2::Instance

AWS Config ルール : ec2-instance-no-public-ip

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、EC2 インスタンスにパブリック IP アドレスがあるかどうかをチェックします。EC2 インスタンスの設定項目に publicIp フィールドが存在する場合、コントロールは失敗します。このコントロールは、IPv4 アドレスにのみ適用されます。

パブリック IPv4 アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してインスタンスを起動すると、EC2 インスタンスはインターネットから到達可能です。プライベート IPv4 アドレスは、インターネットから到達できない IP アドレスです。プライベート IPv4 アドレスは、同じ VPC 内の EC2 インスタンス間または接続されたプライベートネットワークの通信に使用できます。

IPv6 アドレスはグローバルに一意であるため、インターネットから到達できます。ただし、デフォルトではすべてのサブネットで IPv6 アドレス指定属性が false に設定されています。VPC での IPv6 の詳細については、「Amazon VPC ユーザーガイド」の「VPC での IP アドレス指定」を参照してください。

パブリック IP アドレスで EC2 インスタンスを維持する正当なユースケースがある場合は、このコントロールの結果を抑制できます。フロントエンドアーキテクチャオプションの詳細については、「AWS アーキテクチャのブログ」または「This Is My Architecture series (マイアーキテクチャシリーズ)」を参照してください。

修正

デフォルト以外の VPC を使用し、デフォルトでインスタンスがパブリック IP アドレスに割り当てられないようにします。

デフォルトの VPC で EC2 インスタンスを起動すると、パブリック IP アドレスが割り当てられます。EC2 インスタンスをデフォルト以外の VPC で起動すると、サブネット設定によって、パブリック IP アドレスを受信するかどうかが決まります。サブネットには、サブネット内の新しい EC2 インスタンスがパブリック IPv4 アドレスプールからパブリック IP アドレスを受け取るかどうかを判断する属性があります。

EC2 インスタンスから自動で割り当てられたパブリック IP アドレスを手動でインスタンスに関連付ける、または、関連付け解除することはできません。EC2 インスタンスがパブリック IP アドレスを受信するかどうかをコントロールするには、以下のいずれかのの方法を使用します。

サブネットのパブリック IP アドレス指定属性を変更する。詳細については、「Amazon VPC ユーザーガイド」の「サブネットのパブリック IPv4 アドレス指定属性の変更」を参照してください。
起動時にパブリック IP アドレス指定属性機能を有効または無効にします。これにより、サブネットのパブリック IP アドレス指定属性が上書きされます。詳細については、「Amazon EC2 ユーザーガイド」の「インスタンスの起動時にパブリック IPv4 アドレスを割り当てる」を参照してください。 Amazon EC2

詳細については、「Amazon EC2 ユーザーガイド」の「パブリック IPv4 アドレスと外部 DNS ホスト名」を参照してください。

EC2 インスタンスが Elastic IP アドレスに関連付けられている場合、EC2 インスタンスはインターネットからアクセスできます。インスタンスまたはネットワークインターフェイスから Elastic IP アドレスの関連付けをいつでも解除できます。Elastic IP アドレスの関連付けを解除するには、「Amazon EC2 ユーザーガイド」の「Elastic IP アドレスの関連付けを解除する」を参照してください。 Amazon EC2

[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします

カテゴリ: 保護 > セキュアなネットワーク設定 > API プライベートアクセス

重要度: 中

リソースタイプ: AWS::EC2::VPC

AWS Config ルール: service-vpc-endpoint-enabled

スケジュールタイプ: 定期的

パラメータ:

serviceName: ec2 (カスタマイズ不可)

このコントロールは、Amazon EC2 のサービスエンドポイントが各 VPC に対して作成しているかどうかをチェックします。VPC に Amazon EC2 サービス用に作成した VPC エンドポイントがない場合、コントロールは失敗します。

このコントロールは、単一のアカウントのリソースを評価します。アカウント外のリソースは記述できません。 AWS Config と Security Hub はクロスアカウントチェックを行わないため、アカウント間で共有されている VPCsの検出FAILED結果が表示されます。Security Hub では、これらの FAILED 結果を抑制することを推奨します。

VPC のセキュリティ体制を強化するために、インターフェイス VPC エンドポイントを使用するように Amazon EC2 を設定できます。インターフェイスエンドポイントは AWS PrivateLink、Amazon EC2 API オペレーションにプライベートにアクセスできるテクノロジーであるを利用しています。これは、VPC と Amazon EC2 間のすべてのネットワークトラフィックを Amazon ネットワークに限定します。エンドポイントは同じリージョンでのみサポートされるため、別のリージョンの VPC とサービス間にエンドポイントを作成することはできません。これにより、他のリージョンへの意図しない Amazon EC2 API コールを防ぐことができます。

Amazon EC2 用の VPC エンドポイントの作成の詳細については、Amazon EC2 ユーザーガイド」の「Amazon EC2 とインターフェイス VPC エンドポイントAmazon EC2」を参照してください。

修正

Amazon VPC コンソールから Amazon EC2 へのインターフェイスエンドポイントを作成するには、「AWS PrivateLink ガイド」の「VPC エンドポイントを作成する」を参照してください。[サービス名] で [com.amazonaws.region.ec2] を選択します。

また、エンドポイントポリシーを作成し、VPC エンドポイントにアタッチして Amazon EC2 API へのアクセスを制御することもできます。VPC エンドポイントポリシーの作成手順については、「Amazon EC2 ユーザーガイド」の「エンドポイントポリシーの作成」を参照してください。 Amazon EC2

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 低

リソースタイプ: AWS::EC2::EIP

AWS Config ルール : eip-attached

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、VPC に割り当てられた Elastic IP (EIP) アドレスが、 EC2 インスタンスまたは使用中の Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。

検出に失敗した場合は、未使用の EC2 EIP がある可能性があります。

これにより、カード所有者データ環境 (CDE) 内の EIP のアセットインベントリを正確な状態に維持できます。

未使用の EIP をリリースするには、「Amazon EC2 ユーザーガイド」の「Elastic IP アドレスを解放する」を参照してください。 Amazon EC2

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

関連する要件： CIS AWS Foundations Benchmark v1.2.0/4.1、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/2.2.2、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7( SC-7 SC-71

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール : restricted-ssh

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 22 への無制限の入力を許可しません。SSH などのリモートコンソールサービスへの自由な接続を制限することにより、サーバーがリスクにさらされることを軽減できます。

修正

ポート 22 への進入を禁止するには、VPC に関連付けられている各セキュリティグループにそのようなアクセスを許可するルールを削除します。手順については、「Amazon EC2 ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。 Amazon EC2 Amazon EC2 コンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集 を選択します。ポート 22 へのアクセスを許可するルールを削除します。

[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります

関連する要件： CIS AWS Foundations Benchmark v1.2.0/4.2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール： restricted-common-ports (作成されたルールは restricted-rdp）

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 3389 への無制限の入力を許可しません。RDP などのリモートコンソールサービスへの自由な接続を制限することにより、サーバーがリスクにさらされることを軽減できます。

修正

ポート 3389 への進入を禁止するには、VPC に関連付けられている各セキュリティグループにそのようなアクセスを許可するルールを削除します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールの更新」を参照してください。Amazon VPC コンソールでセキュリティグループを選択したら、[アクション、インバウンドルールの編集] を選択します。ポート 3389 へのアクセスを許可するルールを削除します。

[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします

カテゴリ： 保護 > ネットワークセキュリティ

重要度: 中

リソースタイプ: AWS::EC2::Subnet

AWS Config ルール : subnet-auto-assign-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネット内のパブリック IP の割り当ての MapPublicIpOnLaunch が FALSE に設定されているかチェックします。フラグが FALSE に設定されている場合、コントロールは成功します。

すべてのサブネットには、サブネット内に作成されたネットワークインターフェイスが自動的にパブリック IPv4 アドレスを受信するかどうかを判断する属性があります。この属性が有効になっているサブネットで起動されるインスタンスには、プライマリアネットワークインターフェイスに割り当てられるパブリック IP アドレスが割り当てられます。

修正

パブリック IP アドレスを割り当てないようにサブネットを設定するには、「Amazon VPC ユーザーガイド」の「サブネットのパブリック IPv4 アドレス指定属性の変更」を参照してください。[パブリック IPv4 アドレスの自動割り当てを有効にする] チェックボックスをオフにします。

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします

関連する要件: NIST.800-53.r5 CM-8(1)

カテゴリ： 保護 > ネットワークセキュリティ

重要度: 低

リソースタイプ: AWS::EC2::NetworkAcl

AWS Config ルール : vpc-network-acl-unused-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Virtual Private Cloud (VPC) に未使用のネットワークアクセスコントロールリスト (ネットワーク ACLsがあるかどうかを確認します。ネットワーク ACL がサブネットに関連付けられていない場合、コントロールは失敗します。コントロールは、未使用のデフォルトネットワーク ACL の検出結果を生成しません。

コントロールは、リソース AWS::EC2::NetworkAcl の項目設定をチェックして、ネットワーク ACL の関係を判断します。

唯一の関係がネットワーク ACL の VPC である場合、コントロールは失敗します。

他の関係がリスト済みの場合、コントロールは成功します。

修正

未使用のネットワーク ACL を削除する方法については、「Amazon VPC ユーザーガイド」の「ネットワーク ACL の削除」を参照してください。デフォルトのネットワーク ACL またはサブネットに関連付けられた ACL は削除できません。

[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします

関連する要件: NIST.800-53.r5 AC-4(21)

カテゴリ： 保護 > ネットワークセキュリティ

重要度: 低

リソースタイプ: AWS::EC2::Instance

AWS Config ルール : ec2-instance-multiple-eni-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

Adapterids - EC2 インスタンスに添付済みのネットワークインターフェイス ID のリスト (カスタマイズ不可)

このコントロールは、EC2 インスタンスが複数の Elastic Network Interface (ENI) または Elastic Fabric Adapter (EFA) を使用しているかどうかをチェックします。このコントロールは、単一のネットワークアダプタが使用されている場合に成功します。コントロールには、許可された ENI を識別するためのオプションのパラメータリストが含まれています。Amazon EKS クラスターに属する EC2 インスタンスが複数の ENI を使用している場合も、このコントロールは失敗します。EC2 インスタンスに Amazon EKS クラスターの一部として複数の ENI が必要な場合は、これらのコントロールの検出結果を抑制できます。

複数の ENI の使用は、デュアルホームインスタンス (複数のサブネットを持つインスタンス) を引き起こす可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。

修正

EC2 インスタンスからネットワークインターフェイスをデタッチするには、「Amazon EC2 ユーザーガイド」の「インスタンスからネットワークインターフェイスをデタッチする」を参照してください。 Amazon EC2

[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度: 高

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール : vpc-sg-open-only-to-authorized-ports

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`authorizedTcpPorts`	許可されている TCP ポートのリスト	IntegerList （最大 32 項目）	`1`～`65535`	`[80,443]`
`authorizedUdpPorts`	許可されている UDP ポートのリスト	IntegerList （最大 32 項目）	`1`～`65535`	デフォルト値なし

このコントロールは、Amazon EC2 セキュリティグループが、許可されていないポートからの無制限の着信トラフィックを許可しているかどうかをチェックします。コントロールのステータスは次のように決定されます。

authorizedTcpPorts のデフォルト値を使用する場合、セキュリティグループがポート 80 およびポート 443 以外のポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。
authorizedTcpPorts または authorizedUdpPorts にカスタム値を指定した場合、セキュリティグループがリストにないポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。
パラメータを使用しない場合、無制限のインバウンドトラフィックルールを持つセキュリティグループに対してコントロールが失敗します。

セキュリティグループは、 AWSへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループのルールは、最小特権アクセスのプリンシパルに従う必要があります。無制限アクセス (/0 サフィックスを持つ IP アドレス) は、ハッキング、 denial-of-service 攻撃、データ損失などの悪意のあるアクティビティの機会を増やします。ポートが特別に許可されていない限り、ポートは無制限アクセスを拒否する必要があります。

修正

セキュリティグループを変更するには、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > 制限付きネットワークアクセス

重要度: 非常事態

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール： restricted-common-ports (作成されたルールは vpc-sg-restricted-common-ports）

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (カスタマイズ不可)

このコントロールは、指定した高リスクと見なされるポートに Amazon EC2 セキュリティグループの無制限の受信トラフィックがアクセス可能かどうかをチェックします。セキュリティグループ内のルールがこれらのポートへの「0.0.0.0/0」または「::/0」からの入力トラフィックを許可している場合、このコントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。無制限アクセス (0.0.0.0/0) は、ハッキング、 denial-of-service 攻撃、データ損失などの悪意のあるアクティビティの機会を増やします。どのセキュリティグループでも、以下のポートへの無制限の入力アクセスを許可してはいけません。

20、21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
110 (POP3)
135 (RPC)
143 (IMAP)
445 (CIFS)
1433、1434 (MSSQL)
3000 (Go、Node.js、および Ruby のウェブ開発フレームワーク)
3306 (mySQL)
3389 (RDP)
4333 (ahsp)
5000 (Python ウェブ開発フレームワーク)
5432 (postgresql)
5500 (fcp-addr-srvr1)
5601 (OpenSearch ダッシュボード）
8080 (proxy)
8088 (レガシー HTTP ポート)
8888 (代替 HTTP ポート)
9200 または 9300 (OpenSearch)

従来、PV のゲストは HVM のゲストよりも多くの場合にパフォーマンスが向上しました。ただし、HVM 仮想化の機能強化や HVM AMI で PV ドライバが利用可能になったことにより、このようなパフォーマンスの向上はなくなりました。詳細については、Amazon EC2 ユーザーガイド」の「Linux AMI 仮想化タイプ」を参照してください。

修正

EC2 インスタンスを新しいインスタンスタイプに更新するには、「Amazon EC2 ユーザーガイド」の「インスタンスタイプを変更する」を参照してください。 Amazon EC2

[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 高

リソースタイプ :AWS::EC2::LaunchTemplate

AWS Config ルール : ec2-launch-template-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 起動テンプレートが起動の際にネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっていないかをチェックします。EC2 起動テンプレートがネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっている場合、またはパブリック IP アドレスを持つネットワークインターフェイスが 1 つ以上ある場合、コントロールは失敗します。

パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースは、インターネットからアクセスできる可能性があります。EC2 リソースへのパブリックアクセスを可能にすべきではありません。ワークロードへの意図しないアクセスが可能になるおそれがあるためです。

修正

EC2 起動テンプレートを更新するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「デフォルトのネットワークインターフェイス設定を変更する」を参照してください。

[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

重要度: 低

リソースタイプ: AWS::EC2::Volume

AWS Config ルール： ebs-resources-protected-by-backup-plan

スケジュールタイプ: 定期的

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`backupVaultLockCheck`	パラメータがに設定`true`され、リソースが AWS Backup ボールトロックを使用する場合、コントロールは`PASSED`結果を生成します。	ブール値	`true` 、、または `false`	デフォルト値なし

このコントロールは、in-use 状態の Amazon EBS ボリュームがバックアッププランの対象になっているかどうかを評価します。EBS ボリュームがバックアッププランの対象でない場合、コントロールは失敗します。backupVaultLockCheck パラメータをに設定するとtrue、EBS ボリュームが AWS Backup ロックされたボールトにバックアップされている場合にのみコントロールが成功します。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。バックアッププランに Amazon EBS ボリュームを含めると、意図しない損失や削除からデータを保護できます。

修正

Amazon EBS ボリュームを AWS Backup バックアッププランに追加するには、「 AWS Backup デベロッパーガイド」の「バックアッププランへのリソースの割り当て」を参照してください。

[EC2.33] EC2 トランジットゲートウェイアタッチメントにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::TransitGatewayAttachment

AWS Config ルール: tagged-ec2-transitgatewayattachment (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 トランジットゲートウェイアタッチメントに、パラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Transit Gateway アタッチメントにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、トランジットゲートウェイアタッチメントにどのキーもタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。ABAC は、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、を含む多くのがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。

修正

EC2 Transit Gateway アタッチメントにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.34] EC2 トランジットゲートウェイルートテーブルにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::TransitGatewayRouteTable

AWS Config ルール: tagged-ec2-transitgatewayroutetable (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 トランジットゲートウェイルートテーブルに、パラメータで定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。Transit Gateway ルートテーブルにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、トランジットゲートウェイルートテーブルにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

注記

修正

EC2 Transit Gateway ルートテーブルにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.35] EC2 ネットワークインターフェイスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::NetworkInterface

AWS Config ルール: tagged-ec2-networkinterface (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 ネットワークインターフェイスに、パラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ネットワークインターフェイスにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ネットワークインターフェイスにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

注記

修正

EC2 ネットワークインターフェイスにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.36] EC2 カスタマーゲートウェイにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::CustomerGateway

AWS Config ルール: tagged-ec2-customergateway (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 カスタマーゲートウェイに、パラメータで定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。カスタマーゲートウェイにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、カスタマーゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

注記

修正

EC2 カスタマーゲートウェイにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.37] EC2 Elastic IP アドレスにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::EIP

AWS Config ルール: tagged-ec2-eip (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 Elastic IP アドレスに、パラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Elastic IP アドレスにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、Elastic IP アドレスにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 Elastic IP アドレスにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.38] EC2 インスタンスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::Instance

AWS Config ルール: tagged-ec2-instance (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 インスタンスにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。インスタンスにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、インスタンスにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 インスタンスにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::InternetGateway

AWS Config ルール: tagged-ec2-internetgateway (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 インターネットゲートウェイに、パラメータで定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。インターネットゲートウェイにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、インターネットゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 インターネットゲートウェイにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.40] EC2 NAT ゲートウェイにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::NatGateway

AWS Config ルール: tagged-ec2-natgateway (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 ネットワークアドレス変換 (NAT) ゲートウェイに、パラメータで定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。NAT ゲートウェイにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、NAT ゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 NAT ゲートウェイにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.41] EC2 ネットワーク ACLs にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::NetworkAcl

AWS Config ルール: tagged-ec2-networkacl (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 ネットワークアクセスコントロールリスト (ネットワーク ACL) に、パラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ネットワーク ACL にタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ネットワーク ACL にキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 ネットワーク ACL にタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.42] EC2 ルートテーブルにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::RouteTable

AWS Config ルール: tagged-ec2-routetable (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 ルートテーブルに、パラメータで定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。ルートテーブルにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ルートテーブルにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 ルートテーブルにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.43] EC2 セキュリティグループにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール: tagged-ec2-securitygroup (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 セキュリティグループにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。セキュリティグループにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、セキュリティグループにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 セキュリティグループにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.44] EC2 サブネットにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::Subnet

AWS Config ルール: tagged-ec2-subnet (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 サブネットにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。サブネットにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、サブネットにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 サブネットにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.45] EC2 ボリュームにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::Volume

AWS Config ルール: tagged-ec2-subnet (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 ボリュームにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ボリュームにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ボリュームにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 ボリュームにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.46] Amazon VPCsにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::VPC

AWS Config ルール: tagged-ec2-vpc (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) に、パラメータで定義された特定のキーを持つタグがあるかどうかを確認しますrequiredTagKeys。Amazon VPC にタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、Amazon VPC にキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

VPC にタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.47] Amazon VPC エンドポイントサービスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::VPCEndpointService

AWS Config ルール: tagged-ec2-vpcendpointservice (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon VPC エンドポイントサービスに、パラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。エンドポイントサービスにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、エンドポイントサービスにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

Amazon VPC エンドポイントサービスにタグを追加するには、「 AWS PrivateLink ガイド」の「エンドポイントサービスの設定」セクションの「タグの管理」を参照してください。 https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html

[EC2.48] Amazon VPC フローログにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::FlowLog

AWS Config ルール: tagged-ec2-flowlog (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon VPC フローログにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。フローログにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、フローログにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

Amazon VPC フローログにタグを追加するには、「Amazon VPC ユーザーガイド」の「フローログにタグを付ける」を参照してください。

[EC2.49] Amazon VPC ピアリング接続にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::VPCPeeringConnection

AWS Config ルール: tagged-ec2-vpcpeeringconnection (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon VPC ピアリング接続に、パラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ピアリング接続にタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ピアリング接続にキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

Amazon VPC ピアリング接続にタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付ける」を参照してください。 Amazon EC2

[EC2.50] EC2 VPN ゲートウェイにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::VPNGateway

AWS Config ルール: tagged-ec2-vpngateway (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、Amazon EC2 VPN ゲートウェイにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。VPN ゲートウェイにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、VPN ゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 VPN ゲートウェイにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります

関連する要件: NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度: 低

リソースタイプ: AWS::EC2::ClientVpnEndpoint

AWS Config ルール： ec2-client-vpn-connection-log-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、 AWS Client VPN エンドポイントでクライアント接続のログ記録が有効になっているかどうかをチェックします。エンドポイントでクライアント接続ログ記録が有効になっていない場合、コントロールは失敗します。

Client VPN エンドポイントにより、リモートクライアントは AWSの仮想プライベートクラウド (VPC) 内のリソースに安全に接続できます。接続ログにより、VPN エンドポイントでのユーザーアクティビティを追跡し、可視化することができます。接続ログを有効にすると、ロググループ内のログストリームの名前を指定できます。ログストリームを指定しない場合、クライアント VPN サービスによって自動的に作成されます。

修正

接続ログ記録を有効にするには、「AWS Client VPN 管理者ガイド」の「既存のクライアント VPN エンドポイントの接続ログを有効にする」を参照してください。

[EC2.52] EC2 トランジットゲートウェイにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::EC2::TransitGateway

AWS Config ルール: tagged-ec2-transitgateway (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	`No default value`

このコントロールは、Amazon EC2 トランジットゲートウェイにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Transit Gateway にタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、トランジットゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

修正

EC2 トランジットゲートウェイにタグを追加するには、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付けるAmazon EC2」を参照してください。

[EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください

関連する要件： CIS AWS Foundations Benchmark v3.0.0/5.2

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度: 高

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール: vpc-sg-port-restriction-check

スケジュールタイプ: 定期的

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`ipType`	IP バージョン	文字列	カスタマイズ不可	`IPv4`
`restrictPorts`	イングレストラフィックを拒否するポートのリスト	IntegerList	カスタマイズ不可	`22,3389`

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポート (ポート 22 および 3389) への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 からポート 22 または 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングします。TDP (6)、UDP (17)、または ALL (-1) プロトコルのいずれかを使用して、ポート 22 への SSH やポート 3389 への RDP などのリモートサーバー管理ポートへの無制限の進入アクセスをセキュリティグループで許可しないことをお勧めします。これらのポートへのパブリックアクセスを許可すると、リソースアタックサーフェスが増加し、リソースが侵害されるリスクが高まります。

修正

指定されたポートへの進入トラフィックを禁止するように EC2 セキュリティグループルールを更新するには、「Amazon EC2 ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。 Amazon EC2 Amazon EC2 コンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集 を選択します。ポート 22 またはポート 3389 へのアクセスを許可するルールを削除します。

[EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください

関連する要件： CIS AWS Foundations Benchmark v3.0.0/5.3

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度: 高

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール: vpc-sg-port-restriction-check

スケジュールタイプ: 定期的

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`ipType`	IP バージョン	文字列	カスタマイズ不可	`IPv6`
`restrictPorts`	イングレストラフィックを拒否するポートのリスト	IntegerList	カスタマイズ不可	`22,3389`

このコントロールは、Amazon EC2 セキュリティグループが ::/0 からリモートサーバー管理ポート (ポート 22 および 3389) への入力を許可しているかどうかをチェックします。セキュリティグループが ::/0 からポート 22 または 3389 への入力を許可している場合、コントロールは失敗します。

修正

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon ECS コントロール

Amazon EC2 Auto Scaling コントロール