EC2
対象コントロール
| コントロール | 重大度 | タイトル | 記事 |
|---|---|---|---|
| EC2.9 | HIGH | EC2 インスタンスがパブリック IPv4 アドレスを持っていないこと | 検証済み |
| EC2.25 | HIGH | EC2 起動テンプレートがネットワークインターフェースにパブリック IP を割り当てていないこと | 検証済み |
| Autoscaling.5 | HIGH | Auto Scaling 起動設定で起動した EC2 インスタンスがパブリック IP アドレスを持っていないこと | 検証予定 |
関連する宣言型ポリシー属性: VPC Block Public Access
3 コントロールの関係性
3 件はいずれも「パブリック IPv4 アドレスの付与を禁止する」という共通目的を持つが、チェック対象と評価タイミングが異なる。
| EC2.9 | EC2.25 | Autoscaling.5 | |
|---|---|---|---|
| チェック対象 | 起動中のインスタンス | 起動テンプレートのデフォルトバージョン | Auto Scaling 起動設定 |
| 評価タイミング | インスタンス起動後 | 起動テンプレート作成・更新後 | 起動設定作成後 |
| 実害の有無 | あり(既にパブリック IP が付与済み) | なし(設定のみ、まだ起動されていない) | なし(設定のみ) |
| Config ルール | EC2_INSTANCE_NO_PUBLIC_IP | EC2_LAUNCH_TEMPLATE_PUBLIC_IP_DISABLED | AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED |
EC2.25 と Autoscaling.5 は「将来パブリック IP が付与される設定」を検出するものであり、実際のパブリック IP 付与は EC2.9 が検出する。3 件を組み合わせることで、インスタンス起動前(設定段階)と起動後(実態)の両面をカバーできる。
予防手段との対応
| 予防手段 | 種別 | EC2.9 への影響 | EC2.25 への影響 | Autoscaling.5 への影響 |
|---|---|---|---|---|
| CT.EC2.PV.8 | 宣言型ポリシー(VPC BPA) | FAILED のまま変化しない | FAILED のまま変化しない | FAILED のまま変化しない(検証予定) |
VPC BPA はインターネット通信をブロックするが、パブリック IP の付与や起動テンプレート・起動設定の設定値自体は変更しない。そのため、VPC BPA を有効化しても 3 件の finding はいずれも変化しない。
Autoscaling.5 の CT.EC2.PV.8 への影響は未検証。