EC2 の宣言型ポリシー
本ページはドキュメントベースの整理です。各属性の実機検証は今後実施予定です。
本ページの情報は 2026 年 4 月時点のものです。
概要
EC2 の宣言型ポリシー(DECLARATIVE_POLICY_EC2)は 宣言型ポリシー の一つで、Amazon VPC、Amazon EC2、Amazon EBS の基本設定を組織全体に強制する。
サポートされている属性
| # | 属性 | 効果 | 関連 Security Hub コントロール | 関連 CT 予防コントロール |
|---|---|---|---|---|
| 1 | VPC Block Public Access | VPC / サブネットの IGW 経由のインターネットアクセスをブロック | EC2.9, EC2.25, Autoscaling.5 等 | — |
| 2 | EBS Snapshot Block Public Access | EBS スナップショットの公開をブロック | EC2.1, EC2.182 | CT.EC2.PV.7 |
| 3 | Image Block Public Access | AMI の公開をブロック | — | CT.EC2.PV.11 |
| 4 | Instance Metadata Defaults | 新規 EC2 インスタンスの IMDS デフォルトを設定(IMDSv2 強制等) | EC2.8 | — |
| 5 | Serial Console Access | EC2 シリアルコンソールのアクセス制御 | — | — |
| 6 | Allowed Images Settings | 使用可能な AMI を制限 | — | — |
VPC Block Public Access
VPC / サブネットの IGW 経由のインターネットアクセスを制御する。
モード:
off— VPC BPA 無効block_ingress— インバウンドのインターネットトラフィックをブロック(NAT Gateway / Egress-only IGW 経由のアウトバウンドは許可)block_bidirectional— IGW / Egress-only IGW 経由の全トラフィックをブロック
Exclusions(除外):
- VPC 単位またはサブネット単位で除外を設定可能
- ポリシーで
exclusions_allowedをenabled/disabledに設定 - 除外の作成はアカウント側で行う(ポリシー内では除外の作成はできない)
VPC BPA はパブリック IP の付与や IGW 経由のインターネットアクセスが意図した設計である可能性もあり、実環境への投入時には影響評価が必要である(近日中に検証予定)。
EBS Snapshot Block Public Access
EBS スナップショットの公開を制御する。
モード:
block_all_sharing— 全てのパブリック共有をブロック(既存のパブリック共有もアクセス不可になる)block_new_sharing— 新規のパブリック共有をブロック(既存のパブリック共有は維持)unblocked— 制限なし
Image Block Public Access
AMI のパブリック共有を制御する。
モード:
block_new_sharing— 新規のパブリック共有をブロック(既存のパブリック共有は維持)unblocked— 制限なし
Instance Metadata Defaults
新規 EC2 インスタンスの IMDS デフォルトを設定する。
主な設定:
http_tokens—required(IMDSv2 強制)/optional(IMDSv1 も許可)/no_preferencehttp_put_response_hop_limit— メタデータトークンの最大ホップ数(-1〜64)http_endpoint— IMDS エンドポイントの有効 / 無効instance_metadata_tags— インスタンスタグへのメタデータアクセスの有効 / 無効http_tokens_enforced—enabledにすると IMDSv1 インスタンスの起動自体が失敗する
Serial Console Access
EC2 シリアルコンソールのアクセスを制御する。
enabled— シリアルコンソールアクセスを許可disabled— シリアルコンソールアクセスをブロック
Allowed Images Settings
EC2 で使用可能な AMI を制限する。
state—enabled/disabled/audit_modeimage_criteria— 許可する AMI の条件(プロバイダー、名前、Marketplace プロダクトコード、作成日、非推奨日)
検証ステータス
| 属性 | ステータス | 備考 |
|---|---|---|
| VPC Block Public Access | 検証予定 | 近日中に検証予定 |
| EBS Snapshot Block Public Access | CT.EC2.PV.7 で検証済み | Organizations 直接との差分は未確認 |
| Image Block Public Access | CT.EC2.PV.11 で検証済み | Organizations 直接との差分は未確認 |
| Instance Metadata Defaults | 未検証 | |
| Serial Console Access | 未検証 | |
| Allowed Images Settings | 未検証 |