SQS キュー
検証日: 2026-04-04 / リージョン: ap-northeast-1
概要
IAM Access Analyzer が SQS キューの外部アクセスをどのように検出するかを検証する。
SQS キューはキューポリシーにより外部プリンシパルへのアクセスを許可できる。デフォルトではキューポリシーが存在せず、明示的に設定しない限り外部アクセスは発生しない。キューポリシーに Principal: "*" を設定するとパブリックアクセスとして検出され、特定の外部アカウントを設定するとクロスアカウントアクセスとして検出される。
SQS キューの外部アクセス制御レイヤー
| レイヤー | SQS キューの状況 |
|---|---|
| デフォルト保護 | なし(キューポリシーがデフォルトで空) |
| 予防(RCP) | CT.SQS.PV.1(組織外プリンシパルによる SQS アクセスを拒否) |
| Security Hub CSPM | SQS.3(パブリックアクセスのチェック) |
| IAM Access Analyzer | パブリック + クロスアカウントの到達可能性を分析 |
結果
- デフォルトのキューポリシー: SQS キューはデフォルトではキューポリシーが存在しない。明示的に設定しない限り外部アクセスは発生しない
- パブリックアクセスの検出: キューポリシーに
Principal: "*"を設定すると、isPublic: trueの finding が生成された。なお、SQS のadd-permissionではPrincipal: "*"を指定できず、set-queue-attributesでポリシーを直接設定する必要がある - クロスアカウントアクセスの検出: 組織外アカウントをキューポリシーに設定すると、
isPublic: falseの finding が生成された。principal に組織外アカウント ID が特定された - 予防コントロール(CT.SQS.PV.1)との連動: RCP 有効時は組織外からの SendMessage がパブリック・クロスアカウントの両方でブロックされた。再スキャン後、
resourceControlPolicyRestrictionがAPPLICABLEに変わった - クリーンアップ: キューポリシーを空に設定すると finding は RESOLVED になる
検証環境
本記事のコマンドは、--profile 指定がない場合は Workload アカウントで実行する。IAM Access Analyzer の finding 確認は Audit アカウントで実行する。
検証の流れ
flowchart LR
A[1. 既存 finding の<br>確認] --> B[2. テスト用キュー<br>作成]
B --> C[3. パブリックアクセス<br>検出の確認]
C --> D[4. クロスアカウント<br>アクセス検出]
D --> E[5. 予防コントロール<br>との連動]
E --> F[6. クリーンアップ]
1. 既存 finding の確認
テスト用キューを作成する前に、既存の SQS キュー finding を確認する。
デフォルトのキューポリシーの確認
SQS キューはデフォルトではキューポリシーが存在しない。
aws sqs get-queue-attributes \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/<任意のキュー名> \
--attribute-names Policy
(出力なし)既存 finding の確認
aws accessanalyzer list-findings-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--filter '{"status": {"eq": ["ACTIVE"]}, "resourceType": {"eq": ["AWS::SQS::Queue"]}}' \
--query 'findings[].{id:id,resource:resource,status:status}' \
--region ap-northeast-1 \
--profile Audit[]2. テスト用キューの作成
外部プリンシパルへのアクセスを許可するキューを作成する。検証目的のみで行い、ステップ 6 で削除する。
2 つのテスト用 SQS キューを作成し、キューポリシーで外部アクセスを設定する。
パブリックアクセス検証用キュー
aws sqs create-queue \
--queue-name iaa-sqs-public-test{
"QueueUrl": "https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-public-test"
}SQS の
add-permission では Principal: "*" を指定できない(InvalidParameterValue エラー)。set-queue-attributes でキューポリシーを直接設定する必要がある。キューポリシーに Principal: "*" を設定する。
aws sqs set-queue-attributes \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-public-test \
--attributes '{
"Policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllowPublic\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":[\"sqs:SendMessage\",\"sqs:ReceiveMessage\"],\"Resource\":\"arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-public-test\"}]}"
}'
(出力なし)クロスアカウントアクセス検証用キュー
aws sqs create-queue \
--queue-name iaa-sqs-crossaccount-test{
"QueueUrl": "https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-crossaccount-test"
}キューポリシーに組織外アカウントを設定する。
aws sqs set-queue-attributes \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-crossaccount-test \
--attributes '{
"Policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllowCrossAccount\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::<組織外アカウント ID>:root\"},\"Action\":[\"sqs:SendMessage\",\"sqs:ReceiveMessage\"],\"Resource\":\"arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-crossaccount-test\"}]}"
}'
(出力なし)3. パブリックアクセスの検出
ポリシー変更後、IAM Access Analyzer が finding を生成・更新するまで最大 30 分かかる場合がある。
パブリックアクセス検証用キュー(Principal: "*")の finding を確認する。
aws accessanalyzer list-findings-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--filter '{"status": {"eq": ["ACTIVE"]}, "resource": {"contains": ["iaa-sqs-public-test"]}}' \
--query 'findings[].{id:id,resource:resource,resourceType:resourceType,status:status}' \
--region ap-northeast-1 \
--profile Audit[
{
"id": "<パブリックキュー finding ID>",
"resource": "arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-public-test",
"resourceType": "AWS::SQS::Queue",
"status": "ACTIVE"
}
]finding の詳細を確認する。
aws accessanalyzer get-finding-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--id <パブリックキュー finding ID> \
--region ap-northeast-1 \
--profile Audit{
"findingDetails": [
{
"externalAccessDetails": {
"action": ["sqs:ReceiveMessage", "sqs:SendMessage"],
"condition": {},
"isPublic": true,
"principal": {"AWS": "*"},
"resourceControlPolicyRestriction": "NOT_APPLICABLE"
}
}
],
"resource": "arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-public-test",
"status": "ACTIVE",
"resourceType": "AWS::SQS::Queue",
"findingType": "ExternalAccess",
"resourceOwnerAccount": "<Workload アカウント ID>",
"id": "<パブリックキュー finding ID>"
}以下を確認する。
isPublicがtrueprincipalが{"AWS": "*"}actionにsqs:ReceiveMessage,sqs:SendMessageが含まれるresourceControlPolicyRestrictionがNOT_APPLICABLE
組織外アカウントからの実際のアクセス確認
組織外アカウントからパブリックキューへの SendMessage が成功することを確認する。
aws sqs send-message \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-public-test \
--message-body "test" \
--query '{MessageId:MessageId}' \
--profile <組織外プロファイル> \
--region ap-northeast-1{
"MessageId": "<メッセージ ID>"
}4. クロスアカウントアクセスの検出
クロスアカウントアクセス検証用キューの finding を確認する。
aws accessanalyzer list-findings-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--filter '{"status": {"eq": ["ACTIVE"]}, "resource": {"contains": ["iaa-sqs-crossaccount-test"]}}' \
--query 'findings[].{id:id,resource:resource,resourceType:resourceType,status:status}' \
--region ap-northeast-1 \
--profile Audit[
{
"id": "<クロスアカウントキュー finding ID>",
"resource": "arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-crossaccount-test",
"resourceType": "AWS::SQS::Queue",
"status": "ACTIVE"
}
]finding の詳細を確認する。
aws accessanalyzer get-finding-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--id <クロスアカウントキュー finding ID> \
--region ap-northeast-1 \
--profile Audit{
"findingDetails": [
{
"externalAccessDetails": {
"action": ["sqs:ReceiveMessage", "sqs:SendMessage"],
"condition": {},
"isPublic": false,
"principal": {"AWS": "<組織外アカウント ID>"},
"resourceControlPolicyRestriction": "NOT_APPLICABLE"
}
}
],
"resource": "arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-crossaccount-test",
"status": "ACTIVE",
"resourceType": "AWS::SQS::Queue",
"findingType": "ExternalAccess",
"resourceOwnerAccount": "<Workload アカウント ID>",
"id": "<クロスアカウントキュー finding ID>"
}以下を確認する。
isPublicがfalseprincipalに組織外アカウント ID が特定されているactionにsqs:ReceiveMessage,sqs:SendMessageが含まれるresourceControlPolicyRestrictionがNOT_APPLICABLE
組織外アカウントからの実際のアクセス確認
組織外アカウントからクロスアカウントキューへの SendMessage が成功することを確認する。
aws sqs send-message \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-crossaccount-test \
--message-body "test" \
--query '{MessageId:MessageId}' \
--profile <組織外プロファイル> \
--region ap-northeast-1{
"MessageId": "<メッセージ ID>"
}5. 予防コントロール(CT.SQS.PV.1)との連動
本ステップは CT.SQS.PV.1(RCP: 組織外プリンシパルによる SQS アクセスを拒否)が有効な環境で実施する。CT.SQS.PV.1 の詳細は CT.SQS.PV.1 の検証記事 を参照。
CT.SQS.PV.1 の有効化確認
CT.SQS.PV.1 が有効であることを確認する。
aws controltower list-enabled-controls \
--target-identifier <対象 OU ARN> \
--query "enabledControls[?controlIdentifier=='arn:aws:controlcatalog:::control/54ih5t4iifupgyf22zo3kw45m'].{controlIdentifier:controlIdentifier,statusSummary:statusSummary}" \
--profile Master[]無効の場合は有効化する。
aws controltower enable-control \
--control-identifier arn:aws:controlcatalog:::control/54ih5t4iifupgyf22zo3kw45m \
--target-identifier <対象 OU ARN> \
--profile Master{
"operationIdentifier": "<オペレーション ID>"
}組織外アカウントからのアクセス確認
CT.SQS.PV.1 が有効な状態で、組織外アカウントからクロスアカウントテスト用キューへの SendMessage を試み、RCP によりブロックされることを確認する。
aws sqs send-message \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-crossaccount-test \
--message-body "test" \
--profile <組織外プロファイル> \
--region ap-northeast-1An error occurred (AccessDenied) when calling the SendMessage operation: User: arn:aws:iam::<組織外アカウント ID>:user/<組織外ユーザー名> is not authorized to perform: sqs:SendMessage on resource: arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-crossaccount-test with an explicit deny in a resource control policyパブリックキューへの SendMessage も同様にブロックされることを確認する。
aws sqs send-message \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-public-test \
--message-body "test" \
--profile <組織外プロファイル> \
--region ap-northeast-1An error occurred (AccessDenied) when calling the SendMessage operation: User: arn:aws:iam::<組織外アカウント ID>:user/<組織外ユーザー名> is not authorized to perform: sqs:SendMessage on resource: arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-public-test with an explicit deny in a resource control policyresourceControlPolicyRestriction の確認
リソースの再スキャンを実行して、RCP の反映を確認する。再スキャンにより旧 finding は RESOLVED になり、新しい finding ID で再生成される。
aws accessanalyzer start-resource-scan \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--resource-arn arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-crossaccount-test \
--resource-owner-account <Workload アカウント ID> \
--region ap-northeast-1 \
--profile Audit
(出力なし)パブリックキューも再スキャンする。
aws accessanalyzer start-resource-scan \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--resource-arn arn:aws:sqs:ap-northeast-1:<Workload アカウント ID>:iaa-sqs-public-test \
--resource-owner-account <Workload アカウント ID> \
--region ap-northeast-1 \
--profile Audit
(出力なし)再スキャン後の finding 一覧を確認する。
aws accessanalyzer list-findings-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--filter '{"status": {"eq": ["ACTIVE"]}, "resourceType": {"eq": ["AWS::SQS::Queue"]}}' \
--query 'findings[].{id:id,status:status}' \
--region ap-northeast-1 \
--profile Audit[
{
"id": "<新クロスアカウントキュー finding ID>",
"status": "ACTIVE"
},
{
"id": "<新パブリックキュー finding ID>",
"status": "ACTIVE"
}
]finding 詳細を確認し、resourceControlPolicyRestriction が APPLICABLE に変わっていることを確認する。
aws accessanalyzer get-finding-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--id <新クロスアカウントキュー finding ID> \
--region ap-northeast-1 \
--profile Audit{
"findingDetails": [
{
"externalAccessDetails": {
"action": ["sqs:ReceiveMessage", "sqs:SendMessage"],
"isPublic": false,
"principal": {"AWS": "<組織外アカウント ID>"},
"resourceControlPolicyRestriction": "APPLICABLE"
}
}
],
"status": "ACTIVE",
"id": "<新クロスアカウントキュー finding ID>"
}aws accessanalyzer get-finding-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--id <新パブリックキュー finding ID> \
--region ap-northeast-1 \
--profile Audit{
"findingDetails": [
{
"externalAccessDetails": {
"action": ["sqs:ReceiveMessage", "sqs:SendMessage"],
"isPublic": true,
"principal": {"AWS": "*"},
"resourceControlPolicyRestriction": "APPLICABLE"
}
}
],
"status": "ACTIVE",
"id": "<新パブリックキュー finding ID>"
}6. クリーンアップ
CT.SQS.PV.1 の無効化
ステップ 5 で CT.SQS.PV.1 を有効化した場合のみ無効化する。元々有効な環境ではそのまま有効にしておくこと。
aws controltower disable-control \
--control-identifier arn:aws:controlcatalog:::control/54ih5t4iifupgyf22zo3kw45m \
--target-identifier <対象 OU ARN> \
--profile Master{
"operationIdentifier": "<オペレーション ID>"
}キューポリシーの削除
aws sqs set-queue-attributes \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-public-test \
--attributes '{"Policy": ""}'
(出力なし)aws sqs set-queue-attributes \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-crossaccount-test \
--attributes '{"Policy": ""}'
(出力なし)finding の確認
キューポリシー削除後、finding が RESOLVED になることを確認する。
aws accessanalyzer list-findings-v2 \
--analyzer-arn arn:aws:access-analyzer:ap-northeast-1:<Audit アカウント ID>:analyzer/org-access-analyzer \
--filter '{"resourceType": {"eq": ["AWS::SQS::Queue"]}}' \
--query 'findings[].{id:id,resource:resource,status:status}' \
--region ap-northeast-1 \
--profile Audit[]テスト用キューの削除
aws sqs delete-queue \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-public-test
(出力なし)aws sqs delete-queue \
--queue-url https://sqs.ap-northeast-1.amazonaws.com/<Workload アカウント ID>/iaa-sqs-crossaccount-test
(出力なし)