翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon の Security Hub コントロール EC2
これらの AWS Security Hub コントロールは、Amazon Elastic Compute Cloud (Amazon EC2) サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
〔EC2.1] Amazon EBSスナップショットはパブリックに復元できません
関連する要件: PCI DSS v3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/7.2.1、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-7、(9)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 非常事態
リソースタイプ : AWS::::Account
AWS Config ルール : ebs-snapshot-public-restorable-check
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon Elastic Block Store スナップショットがパブリックではないかどうかをチェックします。Amazon EBSスナップショットが誰でも復元できる場合、コントロールは失敗します。
EBS スナップショットは、特定の時点でEBSボリュームのデータを Amazon S3 にバックアップするために使用されます。スナップショットを使用して、EBSボリュームの以前の状態を復元できます。スナップショットのパブリックへの共有は滅多に認められていません。一般的に、スナップショットを公開する決定は、誤って行われたか、影響を完全に理解せずに行われています。このチェックは、そのような共有がすべて完全に計画され、意図的であったことを確認するのに役立ちます。
修正
パブリックEBSスナップショットをプライベートにするには、「Amazon EC2 ユーザーガイド」の「スナップショットの共有」を参照してください。[アクション、権限の変更] で、[非公開] を選択します。
〔EC2.2] VPCデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください
関連する要件: PCI DSS v3.2.1/1.2.1、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/2.1、 CIS AWS Foundations Benchmark v1.2.0/4.3、 CIS AWS Foundations Benchmark v1.4.0/5.3、 CIS AWS Foundations Benchmark v3.0.0/5.4 NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(5)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 高
リソースタイプ : AWS::EC2::SecurityGroup
AWS Config ルール : vpc-default-security-group-closed
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 のデフォルトのセキュリティグループがインバウンドトラフィックとアウトバウンドトラフィックのどちらVPCを許可するかをチェックします。セキュリティグループがインバウンドまたはアウトバウンドのトラフィックを許可している場合、このコントロールは失敗します。
デフォルトのセキュリティグループのルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのアウトバウンドトラフィックとインバウンドトラフィックを許可します。デフォルトのセキュリティグループを使用しないことをお勧めします。デフォルトのセキュリティグループは削除できないため、デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。これにより、EC2インスタンスなどのリソースに対してデフォルトのセキュリティグループが誤って設定されている場合、意図しないトラフィックを防ぐことができます。
修正
この問題を解決するには、まず新しい最小特権のセキュリティグループを作成することから始めます。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループの作成」を参照してください。次に、新しいセキュリティグループをEC2インスタンスに割り当てます。手順については、「Amazon EC2ユーザーガイド」の「インスタンスのセキュリティグループを変更する」を参照してください。
新しいセキュリティグループをリソースに割り当てた後、デフォルトのセキュリティグループからすべてのインバウンドルールとアウトバウンドルールを削除します。手順については、「Amazon VPCユーザーガイド」の「セキュリティグループルールの設定」を参照してください。
〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります
関連する要件: NIST.800-53.r5 CA-9 (1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28 (1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7 (6)
カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest
重要度: 中
リソースタイプ : AWS::EC2::Volume
AWS Config ルール : encrypted-volumes
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、アタッチされた状態にあるEBSボリュームが暗号化されているかどうかを確認します。このチェックに合格するには、EBSボリュームが使用され、暗号化されている必要があります。EBS ボリュームがアタッチされていない場合、このチェックの対象にはなりません。
EBS ボリューム内の機密データのセキュリティを強化するには、保管時のEBS暗号化を有効にする必要があります。Amazon EBS暗号化は、独自のキー管理インフラストラクチャを構築、保守、保護する必要のない、EBSリソース用の簡単な暗号化ソリューションを提供します。暗号化されたボリュームとスナップショットを作成するときにKMSキーを使用します。
Amazon EBS暗号化の詳細については、「Amazon ユーザーガイド」の「Amazon EBS暗号化」を参照してください。 EC2
修正
暗号化されていない既存のボリュームまたはスナップショットを暗号化する直接的な方法はありません。新しいボリュームまたはスナップショットは、作成時にのみ暗号化できます。
暗号化をデフォルトで有効にした場合、Amazon は Amazon EBS 暗号化のデフォルトキーを使用して、結果の新しいボリュームまたはスナップショットをEBS暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。いずれの場合も、Amazon EBS暗号化のデフォルトキーを上書きし、対称カスタマーマネージドキーを選択できます。
詳細については、「Amazon ユーザーガイド」の「Amazon EBSボリュームの作成」および「Amazon EBSスナップショットのコピー」を参照してください。 EC2
〔EC2.4] 停止したEC2インスタンスは、指定した期間後に削除する必要があります
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
カテゴリ: 識別 > インベントリ
重要度: 中
リソースタイプ : AWS::EC2::Instance
AWS Config ルール : ec2-stopped-instance
スケジュールタイプ : 定期的
パラメータ:
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
|
失敗した結果を生成する前に、EC2インスタンスが停止状態になることができる日数。 |
整数 |
|
|
このコントロールは、Amazon EC2インスタンスが許可された日数よりも長く停止されたかどうかを確認します。EC2 インスタンスが最大許容期間を超えて停止すると、コントロールは失敗します。最大許容期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 30 日を使用します。
EC2 インスタンスが長期間実行されていない場合、インスタンスがアクティブにメンテナンスされていない (分析、パッチ適用、更新されていない) ため、セキュリティリスクが発生します。後で起動すると、適切なメンテナンスが行われないと、 AWS 環境で予期しない問題が発生する可能性があります。EC2 インスタンスを非アクティブ状態で長期間安全に維持するには、メンテナンスのためにインスタンスを定期的に開始し、メンテナンス後に停止します。これは自動化されたプロセスであるべきです。
修正
非アクティブなEC2インスタンスを終了するには、「Amazon EC2ユーザーガイド」の「インスタンスの終了」を参照してください。
〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs
関連する要件: CIS AWS Foundations Benchmark v1.2.0/2.9、 CIS AWS Foundations Benchmark v1.4.0/3.9、 CIS AWS Foundations Benchmark v3.0.0/3.7、PCIDSSv3.2.1/10.3.3、PCIDSSv3.2.1/10.3.4、PCIDSSv3.2.1/10.3.5、PCIDSSv3.2.1/10.3.6、 NIST.800-53.r5 AC-4(26) NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、.NIST800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::EC2::VPC
AWS Config ルール : vpc-flow-logs-enabled
スケジュールタイプ : 定期的
パラメータ:
-
trafficType
:REJECT
(カスタマイズ不可)
このコントロールは、Amazon VPC Flow Logs が で検出され、有効になっているかどうかをチェックしますVPCs。トラフィックタイプは Reject
に設定されています。アカウントVPCsでVPCフローログが に対して有効になっていない場合、コントロールは失敗します。
注記
このコントロールは、 の Amazon Security Lake を介して Amazon VPC Flow Logs が有効になっているかどうかをチェックしません AWS アカウント。
VPC フローログ機能を使用すると、 のネットワークインターフェイスとの間で送受信される IP アドレストラフィックに関する情報をキャプチャできますVPC。フローログを作成したら、 CloudWatch ログでそのデータを表示および取得できます。コストを削減するために、フローログを Amazon S3 に送信することもできます。
Security Hub では、 のパケット拒否のフローログ記録を有効にすることをお勧めしますVPCs。フローログは、 を通過するネットワークトラフィックを可視化VPCし、異常なトラフィックを検出したり、セキュリティワークフロー中にインサイトを提供したりできます。
デフォルトでは、レコードには送信元、送信先、プロトコルなど、IP アドレスフローのさまざまなコンポーネントの値が含まれています。ログフィールドの詳細と説明については、「Amazon VPCユーザーガイド」のVPC「フローログ」を参照してください。
修正
VPC フローログを作成するには、「Amazon VPC ユーザーガイド」の「フローログの作成」を参照してください。Amazon VPCコンソールを開いたら、 VPCsを選択します。[フィルター] で、[拒否] または [すべて] を選択します。
〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります
関連する要件: CIS AWS Foundations Benchmark v1.4.0/2.2.1、 CIS AWS Foundations Benchmark v3.0.0/2.2.1、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest
重要度: 中
リソースタイプ : AWS::::Account
AWS Config ルール : ec2-ebs-encryption-by-default
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon Elastic Block Store (Amazon ) でアカウントレベルの暗号化がデフォルトで有効になっているかどうかをチェックしますEBS。アカウントレベルの暗号化が有効になっていない場合、コントロールは失敗します。
アカウントで暗号化が有効になっている場合、Amazon EBSボリュームとスナップショットのコピーは保管時に暗号化されます。これにより、データの保護レイヤーが追加されます。詳細については、「Amazon EC2ユーザーガイド」の「デフォルトでの暗号化」を参照してください。
次のインスタンスタイプでは暗号化がサポートされないことに注意してください: R1、C1、および M1。
修正
Amazon EBSボリュームのデフォルトの暗号化を設定するには、「Amazon EC2ユーザーガイド」の「デフォルトでの暗号化」を参照してください。
〔EC2.8] EC2インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
関連する要件: CIS AWS Foundations Benchmark v3.0.0/5.6、、 NIST.800-53.r5 AC-3(15) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-6、PCIDSSv4.0.1/2.2.6
カテゴリ: 保護 > ネットワークセキュリティ
重要度: 高
リソースタイプ : AWS::EC2::Instance
AWS Config ルール : ec2-imdsv2-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、EC2インスタンスメタデータバージョンがインスタンスメタデータサービスバージョン 2 () で設定されているかどうかを確認しますIMDSv2。が で必須に設定されている場合、コントロールHttpTokens
は成功しますIMDSv2。HttpTokens
が optional
に設定されている場合、コントロールは失敗します。
インスタンスメタデータは、実行中のインスタンスを設定または管理するために使用します。IMDS は、頻繁にローテーションされる一時的な認証情報へのアクセスを提供します。これらの認証情報を使用すると、機密認証情報を手動でまたはプログラムでインスタンスにハードコーディングや、配信する必要がなくなります。IMDS はすべてのEC2インスタンスにローカルにアタッチされます。これは、特別な「リンクローカル」IP アドレス 169.254.169.254 で実行されます。この IP アドレスは、インスタンスで実行されるソフトウェアによってのみアクセスできます。
のバージョン 2 では、次のタイプの脆弱性に対する新しい保護IMDSが追加されています。これらの脆弱性は、 へのアクセスを試みるために使用できますIMDS。
-
ウェブサイトアプリケーションのファイアウォールを開く
-
リバースプロキシを開く
-
サーバー側のリクエスト偽造 (SSRF) の脆弱性
-
Open Layer 3 ファイアウォールとネットワークアドレス変換 (NAT)
Security Hub では、 でEC2インスタンスを設定することをお勧めしますIMDSv2。
修正
でEC2インスタンスを設定するにはIMDSv2、「Amazon EC2ユーザーガイド」の「 への推奨パスIMDSv2」を参照してください。
〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3) NIST.800-53.r5 SC-7、(4)、 NIST.800-53.r5 SC-7(9)
カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース
重要度: 高
リソースタイプ : AWS::EC2::Instance
AWS Config ルール : ec2-instance-no-public-ip
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、EC2インスタンスにパブリック IP アドレスがあるかどうかをチェックします。publicIp
フィールドがEC2インスタンス設定項目に存在する場合、コントロールは失敗します。このコントロールはIPv4アドレスにのみ適用されます。
パブリックIPv4アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してインスタンスを起動すると、EC2インスタンスはインターネットから到達可能になります。プライベートIPv4アドレスは、インターネットから到達できない IP アドレスです。プライベートIPv4アドレスは、同じ VPC または接続されたプライベートネットワーク内のEC2インスタンス間の通信に使用できます。
IPv6 アドレスはグローバルに一意であるため、インターネットからアクセスできます。ただし、デフォルトでは、すべてのサブネットのIPv6アドレス属性が false に設定されています。の詳細についてはIPv6、「Amazon VPCユーザーガイド」の「 での IP アドレス指定VPC」を参照してください。
パブリック IP アドレスを持つEC2インスタンスを維持する正当なユースケースがある場合は、このコントロールの結果を抑制できます。フロントエンドアーキテクチャオプションの詳細については、AWS 「 アーキテクチャブログ
修正
インスタンスにデフォルトでパブリック IP アドレスが割り当てられVPCないように、デフォルト以外の を使用します。
EC2 インスタンスをデフォルトの で起動するとVPC、パブリック IP アドレスが割り当てられます。デフォルト以外の でEC2インスタンスを起動するとVPC、サブネット設定によって、パブリック IP アドレスを受け取るかどうかが決まります。サブネットには、サブネット内の新しいEC2インスタンスがパブリックアドレスプールからパブリック IP IPv4 アドレスを受信するかどうかを判断する属性があります。
EC2 インスタンスから自動的に割り当てられたパブリック IP アドレスの関連付けを解除できます。詳細については、「Amazon EC2ユーザーガイド」の「パブリックIPv4アドレスと外部DNSホスト名」を参照してください。
〔EC2.10] Amazon は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定EC2する必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > 安全なネットワーク設定 > APIプライベートアクセス
重要度: 中
リソースタイプ : AWS::EC2::VPC
AWS Config ルール : service-vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
-
serviceName
:ec2
(カスタマイズ不可)
このコントロールは、Amazon のサービスエンドポイントEC2が ごとに作成されているかどうかを確認しますVPC。に Amazon EC2サービス用に作成されたVPCエンドポイントVPCがない場合、コントロールは失敗します。
このコントロールは、単一のアカウントのリソースを評価します。アカウント外のリソースは記述できません。 AWS Config と Security Hub はクロスアカウントチェックを行わないため、アカウント間で共有VPCsされている FAILED
の検出結果が表示されます。Security Hub では、これらの FAILED
結果を抑制することを推奨します。
のセキュリティ体制を向上させるためにVPC、インターフェイスVPCエンドポイントを使用するEC2ように Amazon を設定できます。インターフェイスエンドポイントは AWS PrivateLink、Amazon EC2APIオペレーションにプライベートにアクセスできるテクノロジーである を利用しています。これにより、 VPCと Amazon 間のすべてのネットワークトラフィックが Amazon EC2 ネットワークに制限されます。エンドポイントは同じリージョン内でのみサポートされるため、 VPCと別のリージョンのサービスとの間にエンドポイントを作成することはできません。これにより、他のリージョンへの意図しない Amazon EC2 API 呼び出しを防ぐことができます。
Amazon のVPCエンドポイントの作成の詳細についてはEC2、「Amazon EC2ユーザーガイド」の「Amazon EC2とインターフェイスVPCエンドポイント」を参照してください。
修正
Amazon VPCコンソールEC2から Amazon へのインターフェイスエンドポイントを作成するには、「 ガイド」のVPC「エンドポイントの作成」を参照してください。 AWS PrivateLink サービス名で、com.amazonaws.region
.ec2 を選択します。
エンドポイントポリシーを作成してVPCエンドポイントにアタッチし、Amazon EC2 へのアクセスを制御することもできますAPI。VPC エンドポイントポリシーの作成手順については、「Amazon EC2 ユーザーガイド」の「エンドポイントポリシーの作成」を参照してください。
〔EC2.12] 未使用の Amazon は削除EC2EIPsする必要があります
関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 低
リソースタイプ : AWS::EC2::EIP
AWS Config ルール : eip-attached
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 に割り当てられた Elastic IP (EIP) アドレスが、EC2インスタンスまたは使用中の Elastic Network Interface () にアタッチVPCされているかどうかを確認しますENIs。
検出に失敗した場合は、未使用の EC2 がある可能性がありますEIPs。
これにより、カード所有者データ環境 () EIPsで の正確なアセットインベントリを維持できますCDE。
修正
未使用の をリリースするにはEIP、「Amazon EC2ユーザーガイド」の「Elastic IP アドレスのリリース」を参照してください。
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
関連する要件: CIS AWS Foundations Benchmark v1.2.0/4.1、PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/2.2.2、 NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(5)、PCIDSSv4.0.1/1.3.1
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 高
リソースタイプ : AWS::EC2::SecurityGroup
AWS Config ルール : restricted-ssh
スケジュールタイプ: 変更がトリガーされ、定期的に行われる場合
パラメータ : なし
このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可するかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可している場合、コントロールは失敗します。
セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 22 への無制限の入力を許可しません。などのリモートコンソールサービスへの無制限の接続を削除するとSSH、サーバーがリスクにさらされる可能性が低くなります。
修正
ポート 22 への進入を禁止するには、 に関連付けられた各セキュリティグループにそのようなアクセスを許可するルールを削除しますVPC。手順については、「Amazon EC2ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。Amazon EC2コンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集を選択します。ポート 22 へのアクセスを許可するルールを削除します。
〔EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください
関連する要件: CIS AWS Foundations Benchmark v1.2.0/4.2、v4.0.1/1PCIDSS.3.1
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 高
リソースタイプ : AWS::EC2::SecurityGroup
AWS Config ルール: restricted-common-ports
(作成されたルールは ですrestricted-rdp
)
スケジュールタイプ: 変更がトリガーされ、定期的に行われる場合
パラメータ : なし
このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可するかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可している場合、コントロールは失敗します。
セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 3389 への無制限の入力を許可しません。などのリモートコンソールサービスへの無制限の接続を削除するとRDP、サーバーがリスクにさらされる可能性が軽減されます。
修正
ポート 3389 への進入を禁止するには、 に関連付けられた各セキュリティグループにそのようなアクセスを許可するルールを削除しますVPC。手順については、「Amazon VPCユーザーガイド」の「セキュリティグループルールの更新」を参照してください。Amazon VPCコンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集を選択します。ポート 3389 へのアクセスを許可するルールを削除します。
〔EC2.15] Amazon EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3) NIST.800-53.r5 SC-7、(4) NIST.800-53.r5 SC-7、(9)PCIDSS、v4.0.1/1.4.4
カテゴリ: 保護 > ネットワークセキュリティ
重要度: 中
リソースタイプ : AWS::EC2::Subnet
AWS Config ルール : subnet-auto-assign-public-ip-disabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネットIPsのパブリック の割り当てが MapPublicIpOnLaunch
に設定されているかどうかを確認しますFALSE
。フラグが FALSE
に設定されている場合、コントロールは成功します。
すべてのサブネットには、サブネット内に作成されたネットワークインターフェイスがパブリックIPv4アドレスを自動的に受信するかどうかを決定する 属性があります。この属性が有効になっているサブネットで起動されるインスタンスには、プライマリアネットワークインターフェイスに割り当てられるパブリック IP アドレスが割り当てられます。
修正
パブリック IP アドレスを割り当てないようにサブネットを設定するには、「Amazon VPCユーザーガイド」の「サブネットのパブリックIPv4アドレス属性を変更する」を参照してください。パブリックIPv4アドレスの自動割り当てを有効にするのチェックボックスをオフにします。
〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります
関連する要件: NIST.800-53.r5 CM-8(1)PCIDSS、v4.0.1/1.2.7
カテゴリ: 保護 > ネットワークセキュリティ
重要度: 低
リソースタイプ : AWS::EC2::NetworkAcl
AWS Config ルール : vpc-network-acl-unused-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、仮想プライベートクラウド (ACLs) に未使用のネットワークアクセスコントロールリスト (ネットワーク ) があるかどうかをチェックしますVPC。ネットワークがサブネットに関連付けられていない場合、コントロールACLは失敗します。コントロールは、未使用のデフォルトネットワーク の検出結果を生成しませんACL。
コントロールは、リソースの項目設定をチェックAWS::EC2::NetworkAcl
し、ネットワーク の関係を決定しますACL。
唯一の関係がネットワーク VPCの である場合ACL、コントロールは失敗します。
他の関係がリスト済みの場合、コントロールは成功します。
修正
未使用のネットワークを削除する手順についてはACL、「Amazon VPCユーザーガイド」の「ネットワークの削除ACL」を参照してください。サブネットに関連付けられているデフォルトのネットワークACLや ACLは削除できません。
〔EC2.17] Amazon EC2インスタンスは複数の を使用しないでください ENIs
関連する要件: NIST.800-53.r5 AC-4 (21)
カテゴリ: 保護 > ネットワークセキュリティ
重要度: 低
リソースタイプ : AWS::EC2::Instance
AWS Config ルール : ec2-instance-multiple-eni-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、EC2インスタンスが複数の Elastic Network Interface (ENIs) または Elastic Fabric Adapters () を使用しているかどうかをチェックしますEFAs。このコントロールは、単一のネットワークアダプタが使用されている場合に成功します。コントロールには、許可された を識別するためのオプションのパラメータリストが含まれていますENIs。Amazon EKSクラスターに属するEC2インスタンスが複数の を使用している場合も、このコントロールは失敗しますENI。EC2 インスタンスに Amazon EKSクラスターENIsの一部として複数の が必要な場合は、これらのコントロールの検出結果を抑制できます。
複数の は、デュアルホームインスタンスを引き起こすENIs可能性があります。つまり、複数のサブネットを持つインスタンスです。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。
修正
EC2 インスタンスからネットワークインターフェイスをデタッチするには、「Amazon EC2 ユーザーガイド」の「インスタンスからネットワークインターフェイスをデタッチする」を参照してください。
〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります
関連する要件: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21) NIST.800-53.r5 SC-7、 (4)、 NIST.800-53.r5 SC-7(5)
カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定
重要度: 高
リソースタイプ : AWS::EC2::SecurityGroup
AWS Config ルール : vpc-sg-open-only-to-authorized-ports
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
|
承認されたTCPポートのリスト |
IntegerList (最小 1 項目、最大 32 項目) |
|
|
|
承認されたUDPポートのリスト |
IntegerList (最小 1 項目、最大 32 項目) |
|
デフォルト値なし |
このコントロールは、Amazon EC2 セキュリティグループが不正なポートからの無制限の受信トラフィックを許可するかどうかをチェックします。コントロールのステータスは次のように決定されます。
-
authorizedTcpPorts
のデフォルト値を使用する場合、セキュリティグループがポート 80 およびポート 443 以外のポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。 -
authorizedTcpPorts
またはauthorizedUdpPorts
にカスタム値を指定した場合、セキュリティグループがリストにないポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。 -
パラメータを使用しない場合、無制限のインバウンドトラフィックルールを持つセキュリティグループに対してコントロールが失敗します。
セキュリティグループは、 AWSへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループのルールは、最小特権アクセスのプリンシパルに従う必要があります。無制限アクセス (/0 サフィックスが付いた IP アドレス) は、ハッキング、攻撃、 denial-of-serviceデータ損失などの悪意のあるアクティビティの可能性を高めます。ポートが特別に許可されていない限り、ポートは無制限アクセスを拒否する必要があります。
修正
セキュリティグループを変更するには、「Amazon VPCユーザーガイド」の「セキュリティグループの使用」を参照してください。
〔EC2.19] セキュリティグループは、高リスクのポートへの無制限アクセスを許可しないでください
関連する要件: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 CA-9(1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、 (21) NIST.800-53.r5 SC-7、 (4) NIST.800-53.r5 SC-7、 (5)
カテゴリ: 保護 > 制限付きネットワークアクセス
重要度: 非常事態
リソースタイプ : AWS::EC2::SecurityGroup
AWS Config ルール: restricted-common-ports
(作成されたルールは ですvpc-sg-restricted-common-ports
)
スケジュールタイプ: 変更がトリガーされ、定期的に行われる場合
パラメータ: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"
(カスタマイズ不可)
このコントロールは、Amazon EC2 セキュリティグループの無制限の受信トラフィックが、高リスクと見なされる指定されたポートにアクセスできるかどうかをチェックします。セキュリティグループ内のルールがこれらのポートへの「0.0.0.0/0」または「::/0」からの入力トラフィックを許可している場合、このコントロールは失敗します。
セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。無制限アクセス (0.0.0.0/0) は、ハッキング、攻撃、 denial-of-serviceデータ損失などの悪意のあるアクティビティの機会を増やします。どのセキュリティグループでも、以下のポートへの無制限の入力アクセスを許可してはいけません。
-
20、21 (FTP)
-
22 (SSH)
-
23 (Telnet)
-
25 (SMTP)
-
110 (POP3)
-
135 (RPC)
-
143 (IMAP)
-
445 (CIFS)
-
1433、1434 (MSSQL)
-
3000 (Go、Node.js、および Ruby のウェブ開発フレームワーク)
-
3306 (マイSQL)
-
3389 (RDP)
-
4333 (ahsp)
-
5000 (Python ウェブ開発フレームワーク)
-
5432 (postgresql)
-
5500 (fcp-addr-srvr1)
-
5601 (OpenSearch ダッシュボード)
-
8080 (proxy)
-
8088 (レガシーHTTPポート)
-
8888 (代替HTTPポート)
-
9200 または 9300 (OpenSearch)
修正
セキュリティグループからルールを削除するには、「Amazon EC2ユーザーガイド」の「セキュリティグループからルールを削除する」を参照してください。
〔EC2.20] 接続の両方のVPNトンネルが AWS Site-to-Site VPN稼働している必要があります
関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ: AWS::EC2::VPNConnection
AWS Config ルール : vpc-vpn-2-tunnels-up
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
VPN トンネルは、カスタマーネットワークから 接続内へ、または 接続 AWS 内からデータを渡すことができる暗号化されたリンクです AWS Site-to-Site VPN。各VPN接続には 2 つのVPNトンネルが含まれており、これらを同時に使用して高可用性を実現できます。とリモートネットワーク間の AWS VPC安全で可用性の高い接続を確認するには、両方のVPNトンネルがVPN接続用に稼働していることを確認することが重要です。
このコントロールは、 によって AWS Site-to-Site VPN提供される両方のVPNトンネルが UP ステータスであることを確認します。一方または両方のトンネルが DOWNステータスの場合、コントロールは失敗します。
修正
VPN トンネルオプションを変更するには、「 ユーザーガイド」の AWS Site-to-Site VPN Site-to-SiteVPN「トンネルオプションの変更」を参照してください。
〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください
関連する要件: CIS AWS Foundations Benchmark v1.4.0/5.1、 CIS AWS Foundations Benchmark v3.0.0/5.1、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(5)、PCIDSSv4.0.1/1.3.1
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ: AWS::EC2::NetworkAcl
AWS Config ルール : nacl-no-unrestricted-ssh-rdp
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、ネットワークアクセスコントロールリスト (ネットワーク ACL) が SSH/RDP Ingress トラフィックのデフォルトTCPポートへの無制限のアクセスを許可しているかどうかをチェックします。ネットワークACLインバウンドエントリがTCPポート 22 または 3389 のソースCIDRブロック '0.0.0.0/0' または '::/0' を許可している場合、コントロールは失敗します。コントロールは、デフォルトのネットワーク の検出結果を生成しませんACL。
ポート 22 (SSH) やポート 3389 (RDP) などのリモートサーバー管理ポートへのアクセスは、 内のリソースへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできませんVPC。
修正
ネットワークACLトラフィックルールを編集するには、「Amazon VPC ユーザーガイド」の「ネットワークの使用ACLs」を参照してください。
〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります
重要
RETIRED FROM SPECIFIC STANDARDS – Security Hub は、2023 年 9 月 20 日に AWS Foundational Security Best Practices 標準および NIST SP 800-53 Rev. 5 からこのコントロールを削除しました。このコントロールは、引き続きサービスマネージドスタンダード: の一部です AWS Control Tower。このコントロールは、セキュリティグループが EC2 インスタンスまたは Elastic Network Interface にアタッチされている場合に、合格の検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。EC2.2、.EC213、.14、EC2.18、EC2.1EC29 などの他のEC2コントロールを使用して、セキュリティグループをモニタリングできます。
カテゴリ: 識別 > インベントリ
重要度: 中
リソースタイプ:AWS::EC2::NetworkInterface
, AWS::EC2::SecurityGroup
AWS Config ルール : ec2-security-group-attached-to-eni-periodic
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、セキュリティグループが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは Elastic Network Interface にアタッチされているかどうかを確認します。セキュリティグループが Amazon EC2インスタンスまたは Elastic Network Interface に関連付けられていない場合、コントロールは失敗します。
修正
セキュリティグループを作成、割り当て、削除するには、「Amazon EC2ユーザーガイド」の「セキュリティグループ」を参照してください。
〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください
関連する要件: NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 高
リソースタイプ: AWS::EC2::TransitGateway
AWS Config ルール : ec2-transit-gateway-auto-vpc-attach-disabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、EC2Transit Gateway が共有VPCアタッチメントを自動的に受け入れているかどうかを確認します。このコントロールは、共有VPCアタッチメントリクエストを自動的に受け入れるトランジットゲートウェイでは失敗します。
をオンにすると、リクエストやVPCアタッチメントの送信元のアカウントを検証せずに、クロスアカウントアタッチメントリクエストを自動的に受け入れるように Transit Gateway がAutoAcceptSharedAttachments
設定されます。認可と認証のベストプラクティスに従うには、この機能をオフにして、認可されたVPCアタッチメントリクエストのみが受け入れられるようにすることをお勧めします。
修正
Transit Gateway を変更するには、「Amazon デベロッパーガイド」の「Transit Gateway の変更」を参照してください。 VPC
〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください
関連する要件: NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理
重要度: 中
リソースタイプ: AWS::EC2::Instance
AWS Config ルール : ec2-paravirtual-instance-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、EC2インスタンスの仮想化タイプが準仮想化であるかどうかをチェックします。EC2 インスタンスvirtualizationType
の が に設定されている場合、コントロールは失敗しますparavirtual
。
Linux Amazon マシンイメージ (AMIs) は、準仮想化 (PV) またはハードウェア仮想マシン () の 2 種類の仮想化のいずれかを使用しますHVM。PV と の主な違いHVMAMIsは、起動方法と、パフォーマンスを向上させるために特別なハードウェア拡張 (CPU、ネットワーク、ストレージ) を活用できるかどうかです。
従来、PV のゲストは多くの場合、HVMゲストよりもパフォーマンスが優れていましたが、HVM仮想化の強化と HVM の PV ドライバーの可用性のためAMIs、これはもはや当てはまりません。詳細については、「Amazon EC2ユーザーガイド」の「Linux AMI仮想化タイプ」を参照してください。
修正
EC2 インスタンスを新しいインスタンスタイプに更新するには、「Amazon EC2ユーザーガイド」の「インスタンスタイプを変更する」を参照してください。
〔EC2.25] Amazon EC2起動テンプレートは、ネットワークインターフェイスIPsにパブリックを割り当てるべきではありません
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3) NIST.800-53.r5 SC-7、(4) NIST.800-53.r5 SC-7、(9)PCIDSS、v4.0.1/1.4.4
カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース
重要度: 高
リソースタイプ: AWS::EC2::LaunchTemplate
AWS Config ルール : ec2-launch-template-public-ip-disabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon EC2起動テンプレートが起動時にネットワークインターフェイスにパブリック IP アドレスを割り当てるように設定されているかどうかを確認します。EC2 起動テンプレートがネットワークインターフェイスにパブリック IP アドレスを割り当てるように設定されている場合、またはパブリック IP アドレスを持つネットワークインターフェイスが少なくとも 1 つある場合、コントロールは失敗します。
パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできる可能性があります。 EC2リソースは、ワークロードへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできません。
修正
EC2 起動テンプレートを更新するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「デフォルトのネットワークインターフェイス設定を変更する」を参照してください。
〔EC2.28] EBSボリュームはバックアッププランの対象である必要があります
カテゴリ: リカバリ > 耐障害性 > バックアップの有効化
関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13 (5)
重要度: 低
リソースタイプ : AWS::EC2::Volume
AWS Config ルール: ebs-resources-protected-by-backup-plan
スケジュールタイプ : 定期的
パラメータ:
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
|
パラメータが に設定 |
ブール値 |
|
デフォルト値なし |
このコントロールは、 in-use
状態の Amazon EBSボリュームがバックアッププランの対象であるかどうかを評価します。EBS ボリュームがバックアッププランの対象でない場合、コントロールは失敗します。backupVaultLockCheck
パラメータを に設定するとtrue
、EBSボリュームが AWS Backup ロックされたボールトにバックアップされている場合にのみコントロールが成功します。
バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。バックアッププランに Amazon EBSボリュームを含めると、意図しない損失や削除からデータを保護できます。
修正
Amazon EBSボリュームを AWS Backup バックアッププランに追加するには、「 AWS Backup デベロッパーガイド」の「バックアッププランへのリソースの割り当て」を参照してください。
〔EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::TransitGatewayAttachment
AWS Config ルール: tagged-ec2-transitgatewayattachment
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2 Transit Gateway アタッチメントにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。Transit Gateway アタッチメントにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トランジットゲートウェイアタッチメントにキーがタグ付けされていない場合に失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 Transit Gateway アタッチメントにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::TransitGatewayRouteTable
AWS Config ルール: tagged-ec2-transitgatewayroutetable
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2 Transit Gateway ルートテーブルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。トランジットゲートウェイルートテーブルにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トランジットゲートウェイルートテーブルにキーがタグ付けされていない場合に失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 Transit Gateway ルートテーブルにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースのタグ付け」を参照してください。 EC2
〔EC2.35] EC2ネットワークインターフェイスにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::NetworkInterface
AWS Config ルール: tagged-ec2-networkinterface
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2ネットワークインターフェイスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。ネットワークインターフェイスにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ネットワークインターフェイスにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 ネットワークインターフェイスにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.36] EC2カスタマーゲートウェイにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::CustomerGateway
AWS Config ルール: tagged-ec2-customergateway
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2カスタマーゲートウェイにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。カスタマーゲートウェイにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、カスタマーゲートウェイにキーがタグ付けされていない場合に失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 カスタマーゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::EIP
AWS Config ルール: tagged-ec2-eip
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2 Elastic IP アドレスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。Elastic IP アドレスにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、Elastic IP アドレスにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Elastic IP アドレスにタグを追加するには、EC2「Amazon ユーザーガイド」の「Amazon EC2リソースのタグ付け」を参照してください。 EC2
〔EC2.38] EC2インスタンスにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::Instance
AWS Config ルール: tagged-ec2-instance
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2インスタンスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。インスタンスにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、インスタンスにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 インスタンスにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::InternetGateway
AWS Config ルール: tagged-ec2-internetgateway
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2 インターネットゲートウェイにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。インターネットゲートウェイにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、インターネットゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 インターネットゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.40] EC2NATゲートウェイにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::NatGateway
AWS Config ルール: tagged-ec2-natgateway
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2ネットワークアドレス変換 (NAT) ゲートウェイにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。NAT ゲートウェイにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys
。パラメータ が指定されていない場合、コントロールrequiredTagKeys
はタグキーの存在のみをチェックし、NATゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 NAT ゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.41] EC2ネットワークにはタグを付けるACLs必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::NetworkAcl
AWS Config ルール: tagged-ec2-networkacl
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2ネットワークアクセスコントロールリスト (ネットワーク ACL) にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。ネットワークにタグキーACLがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys
。パラメータ が指定されていない場合、コントロールrequiredTagKeys
はタグキーの存在のみをチェックし、ネットワークにキーがタグ付けされていない場合ACLは失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 ネットワーク にタグを追加するにはACL、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.42] EC2ルートテーブルにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::RouteTable
AWS Config ルール: tagged-ec2-routetable
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2ルートテーブルにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。ルートテーブルにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ルートテーブルにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 ルートテーブルにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースのタグ付け」を参照してください。 EC2
〔EC2.43] EC2 セキュリティグループにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::SecurityGroup
AWS Config ルール: tagged-ec2-securitygroup
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2 セキュリティグループにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。セキュリティグループにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、セキュリティグループがキーでタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 セキュリティグループにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.44] EC2サブネットにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::Subnet
AWS Config ルール: tagged-ec2-subnet
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2 サブネットにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。サブネットにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、サブネットにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 サブネットにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.45] EC2ボリュームにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::Volume
AWS Config ルール: tagged-ec2-subnet
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2ボリュームにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。ボリュームにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ボリュームにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 ボリュームにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.46] Amazon にはタグを付けるVPCs必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::VPC
AWS Config ルール: tagged-ec2-vpc
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。Amazon にタグキーVPCがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys
。パラメータ が指定されていない場合、コントロールrequiredTagKeys
はタグキーの存在のみをチェックし、Amazon にキーがタグ付けされていない場合VPCは失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
にタグを追加するにはVPC、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.47] Amazon VPCエンドポイントサービスにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::VPCEndpointService
AWS Config ルール: tagged-ec2-vpcendpointservice
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon VPCエンドポイントサービスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。エンドポイントサービスにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、エンドポイントサービスにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Amazon VPCエンドポイントサービスにタグを追加するには、「 AWS PrivateLink ガイド」の「エンドポイントサービスの設定」セクションの「タグの管理」を参照してください。 https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html
〔EC2.48] Amazon VPCフローログにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::FlowLog
AWS Config ルール: tagged-ec2-flowlog
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon VPCフローログにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。フローログにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、フローログにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Amazon VPCフローログにタグを追加するには、「Amazon VPC ユーザーガイド」の「フローログのタグ付け」を参照してください。
〔EC2.49] Amazon VPCピアリング接続にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::VPCPeeringConnection
AWS Config ルール: tagged-ec2-vpcpeeringconnection
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon VPCピアリング接続にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。ピアリング接続にタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ピアリング接続にどのキーもタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Amazon VPCピアリング接続にタグを追加するには、「Amazon EC2ユーザーガイド」の「Amazon EC2リソースのタグ付け」を参照してください。
〔EC2.50] EC2VPNゲートウェイにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::VPNGateway
AWS Config ルール: tagged-ec2-vpngateway
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon EC2VPNゲートウェイにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。VPN ゲートウェイにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys
。パラメータ が指定されていない場合、コントロールrequiredTagKeys
はタグキーの存在のみをチェックし、VPNゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 VPN ゲートウェイにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.51] EC2クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2 (12)、 NIST.800-53.r5 AC-2(4) NIST.800-53.r5 AC-4、 (26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.2.1
カテゴリ: 識別 > ログ記録
重要度: 低
リソースタイプ : AWS::EC2::ClientVpnEndpoint
AWS Config ルール: ec2-client-vpn-connection-log-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS Client VPN エンドポイントでクライアント接続のログ記録が有効になっているかどうかを確認します。エンドポイントでクライアント接続ログ記録が有効になっていない場合、コントロールは失敗します。
クライアントVPNエンドポイントを使用すると、リモートクライアントは の仮想プライベートクラウド (VPC) 内のリソースに安全に接続できます AWS。接続ログを使用すると、VPNエンドポイントでのユーザーアクティビティを追跡し、可視性を得ることができます。接続ログを有効にすると、ロググループ内のログストリームの名前を指定できます。ログストリームを指定しない場合、クライアントVPNサービスはログストリームを作成します。
修正
接続ログ記録を有効にするには、「 AWS Client VPN 管理者ガイド」の「既存のクライアントVPNエンドポイントの接続ログ記録を有効にする」を参照してください。
〔EC2.52] EC2トランジットゲートウェイにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::EC2::TransitGateway
AWS Config ルール: tagged-ec2-transitgateway
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon EC2 Transit Gateway にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。トランジットゲートウェイにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トランジットゲートウェイにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
EC2 Transit Gateway にタグを追加するには、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
〔EC2.53] EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください
関連する要件: CIS AWS Foundations Benchmark v3.0.0/5.2、v4.0.1/1PCIDSS.3.1
カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定
重要度: 高
リソースタイプ : AWS::EC2::SecurityGroup
AWS Config ルール : vpc-sg-port-restriction-check
スケジュールタイプ : 定期的
パラメータ:
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
|
IP バージョン |
文字列 |
カスタマイズ不可 |
|
|
入力トラフィックを拒否するポートのリスト |
IntegerList |
カスタマイズ不可 |
|
このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポート (ポート 22 および 3389) への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 からポート 22 または 3389 への入力を許可している場合、コントロールは失敗します。
セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングします。(6)、 TDP (17)、ALLまたは UDP (-1) プロトコルを使用して、SSHポート 22 やポート 3389 などのリモートサーバー管理ポートRDPへの無制限の進入アクセスを許可しないことをお勧めします。これらのポートへのパブリックアクセスを許可すると、リソースのアタックサーフェスが増加し、リソースが侵害されるリスクが高まります。
修正
指定されたポートへの進入トラフィックを禁止するようにEC2セキュリティグループルールを更新するには、「Amazon EC2ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。Amazon EC2コンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集を選択します。ポート 22 または 3389 へのアクセスを許可するルールを削除します。
〔EC2.54] EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください
関連する要件: CIS AWS Foundations Benchmark v3.0.0/5.3、PCIDSSv4.0.1/1.3.1
カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定
重要度: 高
リソースタイプ : AWS::EC2::SecurityGroup
AWS Config ルール : vpc-sg-port-restriction-check
スケジュールタイプ : 定期的
パラメータ:
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
|
IP バージョン |
文字列 |
カスタマイズ不可 |
|
|
入力トラフィックを拒否するポートのリスト |
IntegerList |
カスタマイズ不可 |
|
このコントロールは、Amazon EC2 セキュリティグループが ::/0 からリモートサーバー管理ポート (ポート 22 および 3389) への進入を許可しているかどうかをチェックします。セキュリティグループが ::/0 からポート 22 または 3389 への入力を許可している場合、コントロールは失敗します。
セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングします。(6)、 TDP (17)、ALLまたは UDP (-1) プロトコルを使用して、SSHポート 22 やポート 3389 などのリモートサーバー管理ポートRDPへの無制限の進入アクセスを許可しないことをお勧めします。これらのポートへのパブリックアクセスを許可すると、リソースのアタックサーフェスが増加し、リソースが侵害されるリスクが高まります。
修正
指定されたポートへの進入トラフィックを禁止するようにEC2セキュリティグループルールを更新するには、「Amazon EC2ユーザーガイド」の「セキュリティグループルールの更新」を参照してください。Amazon EC2コンソールでセキュリティグループを選択したら、アクション、インバウンドルールの編集を選択します。ポート 22 または 3389 へのアクセスを許可するルールを削除します。
〔EC2.55] は、 のインターフェイスエンドポイントで設定VPCsする必要があります ECR API
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ecr.api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon ECR のインターフェイスVPCエンドポイントがあるかどうかをチェックしますAPI。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますECRAPI。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.56] は Docker Registry のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ecr.dkr |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Docker Registry のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Docker Registry のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.57] は Systems Manager のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ssm |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Systems Manager。に Systems Manager のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.58] は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ssm-contacts |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Systems Manager Incident Manager Contacts のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Systems Manager Incident Manager Contacts のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.60] は Systems Manager Incident Manager のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ssm-incidents |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Systems Manager Incident Manager のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Systems Manager Incident Manager のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.61] は、Systems Manager 高速セットアップのインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ssm-quicksetup |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Systems Manager 高速セットアップ用のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Systems Manager 高速セットアップのインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.62] は CloudWatch Logs のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | logs |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon CloudWatch Logs のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に CloudWatch Logs のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.63] は Systems Manager Messages のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ssmmessages |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Systems Manager Messages のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Systems Manager Messages のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.64] は Message Delivery Service のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ec2messages |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Message Delivery Service のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Message Delivery Service のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.65] は Secrets Manager のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | secretsmanager |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Secrets Manager。に Secrets Manager のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.66] は API Gateway のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | execute-api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon API Gateway のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に API Gateway のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.67] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CloudWatch
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | monitoring |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックします CloudWatch。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CloudWatch。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.68] は、 のインターフェイスエンドポイントで設定VPCsする必要があります AWS KMS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | kms |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS KMS。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します AWS KMS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.69] は、 のインターフェイスエンドポイントで設定VPCsする必要があります SQS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sqs |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますSQS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますSQS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.70] は、 のインターフェイスエンドポイントで設定VPCsする必要があります STS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sts |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS STS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますSTS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.71] は、 のインターフェイスエンドポイントで設定VPCsする必要があります SNS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sns |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますSNS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますSNS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.72] は S3 のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | s3 |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon S3 のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に S3 のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.73] は Lambda のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | lambda |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Lambda。に Lambda のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.74] は、 のインターフェイスエンドポイントで設定VPCsする必要があります ECS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ecs |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますECS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますECS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.75] は、Elastic Load Balancing のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | elasticloadbalancing |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Elastic Load Balancing のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Elastic Load Balancing のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.76] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CloudFormation
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | cloudformation |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CloudFormation。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CloudFormation。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.77] は、 のインターフェイスエンドポイントで設定VPCsする必要があります EventBridge
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | events |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックします EventBridge。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します EventBridge。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.78] EC2 は Auto Scaling のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | autoscaling |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon EC2 Auto Scaling のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に EC2 Auto Scaling のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.79] は SageMaker AI 用のインターフェイスエンドポイントで設定VPCsする必要があります API
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sagemaker.api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon SageMaker AI のインターフェイスVPCエンドポイントがあるかどうかをチェックしますAPI。に EC2 SageMaker AI のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますAPI。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.80] は SageMaker AI Feature Store ランタイムのインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sagemaker.featurestore-runtime |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon SageMaker AI Feature Store Runtime のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に EC2 SageMaker AI Feature Store ランタイムのインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.81] は SageMaker AI Metrics Service のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sagemaker.metrics |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon SageMaker AI Metrics Service のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に EC2 SageMaker AI Metrics Service のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.82] は SageMaker AI ランタイム用のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sagemaker.runtime |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon SageMaker AI ランタイムのインターフェイスVPCエンドポイントがあるかどうかをチェックします。に EC2 SageMaker AI ランタイム用のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.83] は、 の SageMaker AI ランタイム用のインターフェイスエンドポイントで設定VPCsする必要があります FIPS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sagemaker.runtime-fips |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に、 の Amazon SageMaker AI ランタイム用のインターフェイスVPCエンドポイントがあるかどうかをチェックしますFIPS。に の SageMaker AI ランタイム用のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますFIPS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.84] は SageMaker AI ノートブックのインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | aws.sagemaker.region.notebook |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon SageMaker AI Notebook のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に SageMaker AI ノートブックのインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.85] は SageMaker AI Studio のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | aws.sagemaker.region.studio |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon SageMaker AI Studio のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に SageMaker AI Studio のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.86] は、 のインターフェイスエンドポイントで設定VPCsする必要があります AWS Glue
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | glue |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Glue。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します AWS Glue。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.87] は Kinesis Data Streams のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | kinesis-streams |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Kinesis Data Streams のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Kinesis Data Streams のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.88] は、 の Transfer Family のインターフェイスエンドポイントで設定VPCsする必要があります SFTP
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | transfer |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Transfer Family のインターフェイスVPCエンドポイントがあるかどうかをチェックしますSFTP。に の Transfer Family のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますSFTP。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.89] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CloudTrail
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | cloudtrail |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CloudTrail。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CloudTrail。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.90] は、 のインターフェイスエンドポイントで設定VPCsする必要があります RDS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | rds |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますRDS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますRDS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.91] は、 ECS エージェントのインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ecs-agent |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon ECS Agent のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に ECS エージェント用のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.92] はECS、テレメトリ用のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ecs-agent |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon ECS Telemetry のインターフェイスVPCエンドポイントがあるかどうかをチェックします。にECSテレメトリ用のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.93] は、 のインターフェイスエンドポイントで設定VPCsする必要があります GuardDuty
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | guardduty-data |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックします GuardDuty。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します GuardDuty。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.94] は、 のインターフェイスエンドポイントで設定VPCsする必要があります SES
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | email-smtp |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますSES。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますSES。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.95] は、 のインターフェイスエンドポイントで設定VPCsする必要があります EFS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | email-smtp |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますEFS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますEFS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.96] は Athena のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | athena |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Athena のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Athena のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.97] は Firehose のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | kinesis-firehose |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Data Firehose のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Firehose のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.98] は Step Functions のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | states |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Step Functions。に Step Functions のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.99] は Storage Gateway のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | storagegateway |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Storage Gateway。に Storage Gateway のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.100] は Amazon のインターフェイスエンドポイントで設定VPCsする必要があります MWAA
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | airflow.api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Managed Workflows for Apache Airflow (Amazon ) のインターフェイスVPCエンドポイントがあるかどうかをチェックしますMWAA。に Amazon のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますMWAA。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.101] は、 MWAA の Amazon のインターフェイスエンドポイントで設定VPCsする必要があります FIPS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | airflow.api-fips |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に、 用の Amazon Managed Workflows for Apache Airflow (Amazon MWAA) のインターフェイスVPCエンドポイントがあるかどうかをチェックしますFIPS。に Amazon MWAA for のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますFIPS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.102] は Amazon MWAA環境のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | airflow.env |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Managed Workflows for Apache Airflow (Amazon MWAA) 環境のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon MWAA環境のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.103] は Amazon MWAAFIPS環境のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | airflow.env-fips |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Managed Workflows for Apache Airflow (Amazon MWAA) FIPS環境のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon MWAAFIPS環境のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.104] は Amazon MWAAオペレーターのインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | airflow.ops |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に、Amazon Managed Workflows for Apache Airflow (Amazon MWAA) オペレーターのインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon MWAAオペレータのインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.105] は、 のインターフェイスエンドポイントで設定VPCsする必要があります DataSync
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | datasync |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS DataSync。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します DataSync。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.106] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CodePipeline
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codepipeline |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CodePipeline。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CodePipeline。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.107] は、 のインターフェイスエンドポイントで設定VPCsする必要があります EKS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | eks |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますEKS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますEKS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.108] は、EBS直接 のインターフェイスエンドポイントで設定VPCsする必要があります APIs
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | ebs |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon EBS direct のインターフェイスVPCエンドポイントがあるかどうかをチェックしますAPIs。にEBSダイレクト のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますAPIs。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.109] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CodeCommit
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | git-codecommit |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CodeCommit。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CodeCommit。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.110] は X-Ray のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | xray |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS X-Ray。に X-Ray のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.111] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CodeBuild
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codebuild |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CodeBuild。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CodeBuild。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.112] は、 のインターフェイスエンドポイントで設定VPCsする必要があります AWS Config
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | config |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Config。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します AWS Config。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.113] は、 RDS データのインターフェイスエンドポイントで設定VPCsする必要があります API
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | rds-data |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon RDS Data のインターフェイスVPCエンドポイントがあるかどうかをチェックしますAPI。にRDSデータ のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますAPI。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.114] は Service Catalog のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | servicecatalog |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Service Catalog。に Service Catalog のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.115] は Amazon のインターフェイスエンドポイントで設定VPCsする必要があります EMR
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | elasticmapreduce |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますEMR。に Amazon のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますEMR。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.116] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CodeCommit
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codecommit |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CodeCommit。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CodeCommit。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.117] は App Mesh のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | appmesh-envoy-management |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS App Mesh。に App Mesh のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.118] は Elastic Beanstalk のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | elasticbeanstalk-health |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Elastic Beanstalk。に Elastic Beanstalk のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.119] は、 のインターフェイスエンドポイントで設定VPCsする必要があります AWS Private CA
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | acm-pca |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Private CA。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します AWS Private CA。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.120] は、 のインターフェイスエンドポイントで設定VPCsする必要があります ElastiCache
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | elasticache |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックします ElastiCache。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します ElastiCache。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.121] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CodeArtifact API
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codeartifact.api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CodeArtifact API。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CodeArtifact API。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.122] は CodeArtifact リポジトリのインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codeartifact.repositories |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS CodeArtifact リポジトリのインターフェイスVPCエンドポイントがあるかどうかをチェックします。に CodeArtifact リポジトリのインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.123] は Amazon Redshift のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | redshift |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Redshift のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Redshift のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.124] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CodeDeploy
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codedeploy |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CodeDeploy。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CodeDeploy。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.125] は、Amazon Managed Service for Prometheus のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | aps-workspaces |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Managed Service for Prometheus のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Managed Service for Prometheus のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.126] は、Application Auto Scaling のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | application-autoscaling |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Application Auto Scaling のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Application Auto Scaling のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.127] は、S3 マルチリージョンアクセスポイントのインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | com.amazonaws.s3-global.accesspoint |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon S3 マルチリージョンアクセスポイントのインターフェイスVPCエンドポイントがあるかどうかをチェックします。に S3 マルチリージョンアクセスポイントのインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.128] AMB は、クエリ用のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | managedblockchain-query |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Managed Blockchain (AMB) クエリのインターフェイスVPCエンドポイントがあるかどうかをチェックします。にAMBクエリ用のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.129] は、AMBAccess Bitcoin のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | managedblockchain.bitcoin.mainnet |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Managed Blockchain (AMB) Access Bitcoin のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に AMB Access Bitcoin のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.130] は AMB Bitcoin Testnet のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | managedblockchain.bitcoin.testnet |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Managed Blockchain (AMB) Bitcoin Testnet のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に AMB Bitcoin Testnet のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.131] は、 のインターフェイスエンドポイントで設定VPCsする必要があります EFS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | elasticfilesystem-fips |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますEFS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますEFS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.132] は、 のインターフェイスエンドポイントで設定VPCsする必要があります AWS Backup
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | backup |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Backup。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します AWS Backup。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.133] は、 のインターフェイスエンドポイントで設定VPCsする必要があります DMS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | dms |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS DMS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますDMS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.134] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CodeDeploy
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codedeploy-commands-secure |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CodeDeploy。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CodeDeploy。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.135] は Amazon のインターフェイスエンドポイントで設定VPCsする必要があります AppStream API
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | appstream.api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックします AppStream API。に Amazon のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します AppStream API。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.136] は Amazon Streaming AppStream のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | appstream.streaming |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Streaming AppStream のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Streaming AppStream のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.137] は Elastic Beanstalk のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | elasticbeanstalk |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Elastic Beanstalk。に Elastic Beanstalk のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.138] は、 のインターフェイスエンドポイントで設定VPCsする必要があります AWS CodeConnections API
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codeconnections.api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CodeConnections API。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CodeConnections API。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.139] は AWS CodeStar Connections のインターフェイスエンドポイントで設定VPCsする必要があります API
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | codestar-connections.api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS CodeStar Connections のインターフェイスVPCエンドポイントがあるかどうかをチェックしますAPI。に AWS CodeStar Connections のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますAPI。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを通過するトラフィックを必要とせずにIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.140] は Amazon Redshift Data のインターフェイスエンドポイントで設定VPCsする必要があります API
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | redshift-data |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Redshift Data のインターフェイスVPCエンドポイントがあるかどうかをチェックしますAPI。に Amazon Redshift Data のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますAPI。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを通過するトラフィックを必要とせずにIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.141] は Amazon Textract のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | textract |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Textract のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Textract のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを通過するトラフィックを必要とせずにIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.142] は Keyspaces のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | cassandra |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Keyspaces (Apache Cassandra 向け) のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Keyspaces のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを通過するトラフィックを必要とせずにIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.143] は、 のインターフェイスエンドポイントで設定VPCsする必要があります AWS MGN
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | mgn |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に () のインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Application Migration Service AWS MGN。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します AWS MGN。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを通過するトラフィックを必要とせずにIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.144] は Image Builder のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | imagebuilder |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon EC2 Image Builder のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Image Builder のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを通過するトラフィックを必要とせずにIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.145] は Step Functions のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | sync-states |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS Step Functions Image Builder のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Step Functions のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを通過するトラフィックを必要とせずにIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.146] は Auto Scaling のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | autoscaling-plans |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Auto Scaling。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します AWS Auto Scaling。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを通過するトラフィックを必要とせずにIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.147] は Amazon Bedrock のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | bedrock-runtime |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Bedrock のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Bedrock のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.148] は Batch のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | batch |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Batch。に Batch のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.149] は Amazon のインターフェイスエンドポイントで設定VPCsする必要があります EKS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | eks-auth |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますEKS。に のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますEKS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.150] は Amazon Comprehend のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | comprehend |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Comprehend のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Comprehend のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.151] は App Runner のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | apprunner |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS App Runner。に App Runner のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.152] は Serverless EMR のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | emr-serverless |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon EMR Serverless のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に EMR Serverless のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.153] は Lake Formation のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | lakeformation |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Lake Formation。に Lake Formation のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.154] は Amazon のインターフェイスエンドポイントで設定VPCsする必要があります FSx
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | fsx |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますFSx。に Amazon のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますFSx。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.155] は、 EMR 上の Amazon のインターフェイスエンドポイントで設定VPCsする必要があります EKS
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | fsx |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に EMR上の Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックしますEKS。に Amazon のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗EMRしますEKS。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.156] は IoT IoT Core Data のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | iot.data |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS IoT コアデータのインターフェイスVPCエンドポイントがあるかどうかをチェックします。に AWS IoT コアデータのインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.157] は IoT IoT Core 認証情報のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | iot.credentials |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS IoT Core 認証情報のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に AWS IoT Core 認証情報のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.158] は IoT IoT Core Fleet Hub のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | iot.fleethub.api |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に AWS IoT Core Fleet Hub のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に AWS IoT Core Fleet Hub のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.159] は、Elastic Disaster Recovery のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | drs |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Elastic Disaster Recovery。に Elastic Disaster Recovery のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.160] は クラウドのインターフェイスエンドポイントで設定VPCsする必要がありますHSM
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | cloudhsmv2 |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS CloudHSM。に クラウドのインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗しますHSM。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.161] は Amazon Rekognition のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | rekognition |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Rekognition のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Rekognition のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.162] は、Amazon Managed Service for Prometheus のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | aps |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Managed Service for Prometheus のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Managed Service for Prometheus のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.163] は、Elastic Inference Runtime のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | elastic-inference.runtime |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Elastic Inference Runtime のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Elastic Inference Runtime のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、お客様はネットワーク内のすべてのネットワークトラフィックを維持しながら、高可用性でスケーラブルな方法で AWS でホストされているサービスにアクセスできます AWS 。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.164] は、 のインターフェイスエンドポイントで設定VPCsする必要があります CloudWatch
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | synthetics |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon のインターフェイスVPCエンドポイントがあるかどうかをチェックします CloudWatch。にインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します CloudWatch。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.165] は Amazon Bedrock のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | bedrock |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Bedrock のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Bedrock のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.166] は Security Hub のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | securityhub |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) にインターフェイスVPCエンドポイントがあるかどうかをチェックします AWS Security Hub。に Security Hub のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.167] は DynamoDB のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | dynamodb |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon DynamoDB のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に DynamoDB のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.168] は Access Analyzer のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | access-analyzer |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に IAM Access Analyzer のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に IAM Access Analyzer のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.168] は Amazon Transcribe Medical のインターフェイスエンドポイントで設定VPCsする必要があります
関連する要件: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)
カテゴリ: 保護 > セキュアなアクセス管理 > アクセスコントロール
重要度: 中
リソースタイプ: AWS::EC2::VPC
、AWS::EC2::VPCEndpoint
AWS Config ルール : vpc-endpoint-enabled
スケジュールタイプ : 定期的
パラメータ:
[Parameter] (パラメータ) | 必須 | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|---|
serviceNames
|
必須 | コントロールが評価するサービスの名前 | 文字列 | カスタマイズ不可 | transcribe |
vpcIds
|
オプションです。 | VPC エンドポイントVPCIDsの Amazon のカンマ区切りリスト。指定した場合、 serviceName パラメータで指定されたサービスにこれらのVPCエンドポイントのいずれかがない場合、コントロールは失敗します。 |
StringList | 1 つ以上の でカスタマイズする VPC IDs | デフォルト値なし |
このコントロールは、管理する仮想プライベートクラウド (VPC) に Amazon Transcribe Medical のインターフェイスVPCエンドポイントがあるかどうかをチェックします。に Amazon Transcribe Medical のインターフェイスVPCエンドポイントVPCがない場合、コントロールは失敗します。このコントロールは、1 つのアカウントのリソースを評価します。
AWS PrivateLink を使用すると、 でホストされているサービスに高可用性でスケーラブル AWS な方法でアクセスでき、すべてのネットワークトラフィックを AWS ネットワーク内に維持できます。サービスユーザーは、パブリック を使用せずに、インターネットを経由することなくIPs、 VPC またはオンプレミス PrivateLink から を利用したサービスにプライベートにアクセスできます。
修正
VPC エンドポイントを設定するには、「 AWS PrivateLink ガイド」の「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
〔EC2.170] EC2起動テンプレートはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります
関連する要件: PCI DSS v4.0.1/2.2.6
カテゴリ: 保護 > ネットワークセキュリティ
重要度: 低
リソースタイプ : AWS::EC2::LaunchTemplate
AWS Config ルール : ec2-launch-template-imdsv2-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon EC2起動テンプレートがインスタンスメタデータサービスバージョン 2 () で設定されているかどうかを確認しますIMDSv2。HttpTokens
が optional
に設定されている場合、コントロールは失敗します。
サポートされているソフトウェアバージョンでリソースを実行すると、最適なパフォーマンス、セキュリティ、最新機能へのアクセスが保証されます。定期的な更新は脆弱性から保護するため、安定した効率的なユーザーエクスペリエンスを確保できます。
修正
EC2 起動テンプレートIMDSv2で を要求するには、「Amazon EC2ユーザーガイド」の「インスタンスメタデータサービスオプションの設定」を参照してください。
〔EC2.171] EC2VPN接続ではログ記録が有効になっている必要があります
関連する要件: CIS AWS Foundations Benchmark v3.0.0/5.3、PCIDSSv4.0.1/10.4.2
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::EC2::VPNConnection
AWS Config ルール : ec2-vpn-connection-logging-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS Site-to-Site VPN接続で両方のトンネルに対して Amazon CloudWatch Logs が有効になっているかどうかを確認します。VPN 接続で両方のトンネルに対して CloudWatch Logs が有効になっていない場合、 Site-to-Siteコントロールは失敗します。
AWS Site-to-Site VPN ログを使用すると、VPNデプロイをより詳細に把握できます Site-to-Site。この機能を使用すると、IP Security (IPsec) トンネル確立、Internet Key Exchange (IKE) ネゴシエーション、およびデッドピア検出 (DPD) プロトコルメッセージの詳細を提供するVPN接続ログにアクセスできます Site-to-Site。 Site-to-Site VPNログは CloudWatch Logs に発行できます。この機能により、お客様はすべての Site-to-SiteVPN接続の詳細ログにアクセスして分析するための一貫した単一の方法を利用できます。
修正
EC2 VPN 接続でトンネルログ記録を有効にするには、「 AWS Site-to-Site VPNユーザーガイド」の「 AWS Site-to-Site VPNログ」を参照してください。