リソースポリシー系
リソースポリシーによるパブリックアクセス許可をチェックするコントロール群。Lambda 関数、KMS キー、SNS トピック、SQS キュー、Elasticsearch / OpenSearch ドメイン、SSM ドキュメントなど、リソースベースのポリシーでアクセス制御を行うサービスが対象である。
IAM Access Analyzer もリソースポリシーを分析するため、対象が重複するサービスでは検出範囲の対比が重要になる。
対象コントロール(7 件)
| コントロール | 重大度 | タイトル | デフォルト保護 | IAM Access Analyzer | 記事 |
|---|---|---|---|---|---|
| Lambda.1 | CRITICAL | Lambda 関数ポリシーがパブリックアクセスを許可していないこと | 保護済み(要検証: リソースポリシー未設定ならパブリックではない) | 対象 | 検証予定 |
| KMS.5 | CRITICAL | KMS キーがパブリックにアクセス可能でないこと | 保護済み(要検証: デフォルトキーポリシーはアカウント内のみ) | 対象 | 検証予定 |
| SNS.4 | CRITICAL | SNS トピックアクセスポリシーがパブリックアクセスを許可していないこと | 未保護(要検証) | 対象 | 検証予定 |
| SQS.3 | CRITICAL | SQS キューアクセスポリシーがパブリックアクセスを許可していないこと | 未保護(要検証) | 対象 | 検証予定 |
| ES.2 | CRITICAL | Elasticsearch ドメインがパブリックにアクセス可能でないこと | 未保護(要検証) | 対象外 | 検証予定 |
| Opensearch.2 | CRITICAL | OpenSearch ドメインがパブリックにアクセス可能でないこと | 未保護(要検証) | 対象外 | 検証予定 |
| SSM.4 | CRITICAL | SSM ドキュメントがパブリックでないこと | 保護済み(要検証: デフォルトではプライベート) | 対象外 | 検証予定 |