パブリック IP
VPC 内のリソースにパブリック IP アドレスが付与されていないか、またはインターネットから到達可能な状態にないかをチェックするコントロール群。対象リソースは EC2 インスタンス、ECS サービス・タスクセット、EMR クラスター、RDS、Redshift、SageMaker など多岐にわたるが、共通して VPC のネットワーク設定に依存する。
対象コントロール(12 件)
関連する宣言型ポリシー属性: VPC Block Public Access
| コントロール | 重大度 | タイトル | デフォルト保護 | IAM Access Analyzer | 記事 |
|---|---|---|---|---|---|
| EC2.9 | HIGH | EC2 インスタンスがパブリック IPv4 アドレスを持っていないこと | 未保護(検証済み) | 対象外 | 検証済み |
| EC2.25 | HIGH | EC2 起動テンプレートがパブリック IP を割り当てていないこと | 未保護(検証済み) | 対象外 | 検証済み |
| Autoscaling.5 | HIGH | Auto Scaling 起動設定でパブリック IP を持っていないこと | 未保護(検証済み) | 対象外 | 検証済み(一部) |
| ECS.2 | HIGH | ECS サービスにパブリック IP が自動割り当てされていないこと | 保護済み(検証済み: assignPublicIp のデフォルトは DISABLED) | 対象外 | 検証済み |
| ECS.16 | HIGH | ECS タスクセットにパブリック IP が自動割り当てされていないこと | 保護済み(検証済み: assignPublicIp のデフォルトは DISABLED) | 対象外 | 検証済み |
| EMR.1 | HIGH | EMR クラスタープライマリノードがパブリック IP を持っていないこと | 未保護(検証済み) | 対象外 | 検証済み |
| RDS.2 | CRITICAL | RDS DB インスタンスが PubliclyAccessible でないこと | 未保護(要検証) | 対象外 | 検証予定 |
| RDS.46 | HIGH | RDS DB インスタンスがパブリックサブネットにデプロイされていないこと | 未保護(検証済み) | 対象外 | 検証済み |
| DMS.1 | CRITICAL | DMS レプリケーションインスタンスがパブリックでないこと | 未保護(要検証) | 対象外 | 検証予定 |
| Redshift.1 | CRITICAL | Redshift クラスターがパブリックアクセスを許可していないこと | 未保護(要検証) | 対象外 | 検証予定 |
| RedshiftServerless.3 | HIGH | Redshift Serverless ワークグループがパブリックアクセスを許可していないこと | 未保護(要検証) | 対象外 | 検証予定 |
| SageMaker.1 | HIGH | SageMaker ノートブックインスタンスがインターネットに直接アクセスできないこと | 未保護(検証済み) | 対象外 | 検証済み |
VPC Block Public Access(VPC BPA)との関係
VPC BPA は、VPC / サブネットの IGW 経由のインターネットアクセスを組織全体でブロックする宣言型ポリシーである(Control Tower では CT.EC2.PV.8 として提供)。
VPC BPA はインターネット通信をブロックするが、パブリック IP の付与自体や起動テンプレート・起動設定の設定値は変更しない。そのため、VPC BPA を有効化しても上記コントロールの finding はいずれも変化しない(EC2.9, EC2.25 で検証済み)。
ただし、VPC BPA が有効な環境では実際のインターネットアクセスはブロックされるため、finding が FAILED であっても実害はない。
EC2.9 / EC2.25 / Autoscaling.5 の関係性
3 件はいずれも「パブリック IPv4 アドレスの付与を禁止する」という共通目的を持つが、チェック対象と評価タイミングが異なる。
| EC2.9 | EC2.25 | Autoscaling.5 | |
|---|---|---|---|
| チェック対象 | 起動中のインスタンス | 起動テンプレートのデフォルトバージョン | Auto Scaling 起動設定 |
| 評価タイミング | インスタンス起動後 | 起動テンプレート作成・更新後 | 起動設定作成後 |
| 実害の有無 | あり(既にパブリック IP が付与済み) | なし(設定のみ、まだ起動されていない) | なし(設定のみ) |
| Config ルール | EC2_INSTANCE_NO_PUBLIC_IP | EC2_LAUNCH_TEMPLATE_PUBLIC_IP_DISABLED | AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED |
EC2.25 と Autoscaling.5 は「将来パブリック IP が付与される設定」を検出するものであり、実際のパブリック IP 付与は EC2.9 が検出する。3 件を組み合わせることで、インスタンス起動前(設定段階)と起動後(実態)の両面をカバーできる。
予防手段との対応
| 予防手段 | 種別 | EC2.9 への影響 | EC2.25 への影響 | Autoscaling.5 への影響 |
|---|---|---|---|---|
| CT.EC2.PV.8 | 宣言型ポリシー(VPC BPA) | FAILED のまま変化しない | FAILED のまま変化しない | FAILED のまま変化しない(検証予定) |