EBS
対象コントロール
| コントロール | 重大度 | タイトル | 記事 |
|---|---|---|---|
| EC2.1 | CRITICAL | EBS スナップショットがパブリックに復元可能な状態でないこと | 検証予定 |
| EC2.182 | HIGH | EBS スナップショットのブロックパブリックアクセス設定が有効であること | 検証済み |
関連する宣言型ポリシー属性: EBS Snapshot Block Public Access
EC2.1 と EC2.182 の違い
2 件のコントロールはどちらも EBS スナップショットのパブリック共有に関するが、チェックしている対象が異なる。
| EC2.1 | EC2.182 | |
|---|---|---|
| チェック対象 | パブリック共有スナップショットが存在するか(結果) | アカウントレベルの BPA 設定が有効か(設定) |
| Config ルール | ebs-snapshot-public-restorable-check | ebs-snapshot-block-public-access |
| FAILED になる条件 | パブリック共有スナップショットが 1 件でも存在する | BPA が unblocked または block-new-sharing |
| PASSED になる条件 | パブリック共有スナップショットが 0 件、または BPA が block-all-sharing | BPA が block-all-sharing |
BPA が block-all-sharing に設定されると、スナップショットの公開設定(createVolumePermission: Group=all)を変更していなくても、実際のパブリックアクセスはブロックされる。ebs-snapshot-public-restorable-check ルールは「実際にパブリックに復元可能か」を評価するため、BPA が block-all-sharing であれば PASSED となる(CT.EC2.PV.7 の検証で確認済み)。
EC2.1 の詳細な評価ロジック(BPA 設定値ごとの挙動)は EC2.1 の個別検証で確認する。
逆に BPA が unblocked でも、パブリック共有スナップショットが 0 件であれば EC2.1 は PASSED となる。
予防手段との対応
| 予防手段 | 種別 | EC2.1 への影響 | EC2.182 への影響 |
|---|---|---|---|
| CT.EC2.PV.3 | SCP | FAILED のまま(既存の共有属性は残る) | FAILED のまま(BPA 設定を変更しない) |
| CT.EC2.PV.7 | 宣言型ポリシー(EBS Snapshot BPA) | PASSED に変化(BPA によりパブリック共有が実質無効化) | PASSED に変化(BPA が block-all-sharing に強制される)1(EC2.182 の検証で確認済み) |
EC2.182 の Config ルール(
ebs-snapshot-block-public-access)は Change triggered 型のため、Declarative Policy による変更は Config の変更検知を発火させず、Security Hub への反映タイミングはリージョンによって大きく異なる場合がある。EC2.1 の Config ルール(ebs-snapshot-public-restorable-check)は Periodic 型のため、手動トリガーで即時確認できる。 ↩︎