Autoscaling.5
検証日: 2026-04-19 / リージョン: ap-northeast-1
2024年10月1日以降に作成されたアカウントでは起動設定(Launch Configuration)の作成が禁止されている。本コントロールの FAILED 状態を再現できないため、デフォルト状態(finding なし)の確認のみ実施済み。
--profile 指定がない場合は Workload アカウントで実行する。export AWS_PROFILE=Workload でデフォルトを設定しておくと便利。
コントロールの説明
Auto Scaling グループの起動設定(Launch Configuration)で、インスタンスにパブリック IP アドレスが割り当てられる設定になっていないかをチェックする。AssociatePublicIpAddress が true の場合に FAILED となる。
起動設定(Launch Configuration)は旧世代の機能であり、AWS は起動テンプレート(Launch Template)への移行を推奨している。起動テンプレートのパブリック IP 設定は EC2.25 でチェックされる。
対応する Config ルール: AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED(評価頻度: 変更トリガー)
結果
- 起動設定が存在しない場合は finding 自体が生成されない(PASSED でも FAILED でもない)
AssociatePublicIpAddress: trueの起動設定を作成すると FAILED になるはずだが、2024年10月1日以降に作成されたアカウントでは起動設定の作成自体が禁止されているため、FAILED の再現は不可(AWS 公式ドキュメント、実際のエラー出力は補足を参照)
1. デフォルト状態の確認
起動設定の確認
aws autoscaling describe-launch-configurations \
--query 'LaunchConfigurations[].{Name:LaunchConfigurationName,PublicIP:AssociatePublicIpAddress}' \
--region ap-northeast-1[]起動設定が存在しない。
Security Hub finding の確認
aws securityhub get-findings \
--filters '{
"ComplianceSecurityControlId": [{"Comparison": "EQUALS", "Value": "Autoscaling.5"}],
"AwsAccountId": [{"Comparison": "EQUALS", "Value": "<アカウント ID>"}],
"WorkflowStatus": [{"Comparison": "NOT_EQUALS", "Value": "SUPPRESSED"}],
"RecordState": [{"Comparison": "EQUALS", "Value": "ACTIVE"}]
}' \
--query 'Findings[].{Status:Compliance.Status,ResourceId:Resources[0].Id}' \
--region ap-northeast-1[]起動設定が存在しないため finding も生成されていない。
補足:起動設定作成 API の廃止について
2024年10月1日以降に作成されたアカウントでは起動設定の作成が禁止されており、以下のコマンドはエラーになる。
最新の Amazon Linux 2023 AMI を取得
aws ec2 describe-images \
--owners amazon \
--filters Name=name,Values=al2023-ami-2023*-x86_64 Name=state,Values=available \
--query 'sort_by(Images,&CreationDate)[-1].ImageId' \
--output text \
--region ap-northeast-1<AMI ID>aws autoscaling create-launch-configuration \
--launch-configuration-name cspm-autoscaling5-test \
--image-id <AMI ID> \
--instance-type t3.micro \
--associate-public-ip-address \
--region ap-northeast-1An error occurred (UnsupportedOperation) when calling the CreateLaunchConfiguration operation: The Launch Configuration creation operation is not available in your account. Use launch templates to create configuration templates for your Auto Scaling groups.補足:コントロールの有効性について
2024年10月1日以前にアカウントを作成したユーザーは既存の起動設定を使い続けられるため、Autoscaling.5 の FAILED が発生する可能性がある。組織全体で見れば依然として意味のあるコントロールであり、無効化すべきではない。
起動テンプレートを使用している場合のパブリック IP 設定は EC2.25 でチェックされる。