EC2 ポリシー(宣言型)
本ページの情報は 2026 年 4 月時点のものです。
概要
EC2 ポリシー(宣言型)(DECLARATIVE_POLICY_EC2)は 宣言型ポリシー の一つで、Amazon VPC、Amazon EC2、Amazon EBS の基本設定を組織全体に強制する。
サポートされている属性
| # | 属性 | 効果 | 関連 Security Hub コントロール | 関連 CT 予防コントロール | ステータス |
|---|---|---|---|---|---|
| 1 | VPC Block Public Access | VPC / サブネットの IGW 経由のインターネットアクセスをブロック | EC2.9, EC2.25, Autoscaling.5 等 ※ | CT.EC2.PV.8 | 検証済み |
| 2 | EBS Snapshot Block Public Access | EBS スナップショットの公開をブロック | EC2.1, EC2.182 | CT.EC2.PV.7 | 検証済み |
| 3 | Image Block Public Access | AMI の公開をブロック | — | CT.EC2.PV.11 | CT 経由で検証済み、CSPM 関連なし |
| 4 | Instance Metadata Defaults | 新規 EC2 インスタンスの IMDS デフォルトを設定(IMDSv2 強制等) | EC2.8 | — | 未検証 |
| 5 | Serial Console Access | EC2 シリアルコンソールのアクセス制御 | — | CT.EC2.PV.9 | 未検証 |
| 6 | Allowed Images Settings | 使用可能な AMI を制限 | — | — | 未検証 |
※ VPC BPA は関連する CSPM コントロールの finding を変化させない。VPC BPA はインターネット通信をブロックするが、パブリック IP の付与や設定値自体は変更しないため。テーマとして関連するが、EBS Snapshot BPA や S3 ポリシーのように finding を PASSED に変化させる効果はない。詳細は VPC Block Public Access の記事を参照。
EBS Snapshot BPA は Control Tower 予防コントロール経由での有効化・無効化手順を検証済みで、S3 ポリシー(宣言型)と同様の属性単位の集約が完了している。VPC BPA は VPC Block Public Access の記事で全 13 コントロールの finding 影響とモード別の動作を検証済み。