サービス固有の公開設定
各サービスが持つ固有のパブリックアクセス設定をチェックするコントロール群。リソースポリシーによるパブリックアクセス許可、セキュリティグループのポート開放、サービス固有の BPA 設定、VPC 外サービスのパブリックエンドポイントなど、性質が多岐にわたる。
対象コントロール(13 件)
| コントロール | 重大度 | タイトル | デフォルト保護 | IAM Access Analyzer | 記事 |
|---|---|---|---|---|---|
| Lambda.1 | CRITICAL | Lambda 関数ポリシーがパブリックアクセスを許可していないこと | 保護済み(要検証: リソースポリシー未設定ならパブリックではない) | 対象 | 検証予定 |
| KMS.5 | CRITICAL | KMS キーがパブリックにアクセス可能でないこと | 保護済み(要検証: デフォルトキーポリシーはアカウント内のみ) | 対象 | 検証予定 |
| SNS.4 | CRITICAL | SNS トピックアクセスポリシーがパブリックアクセスを許可していないこと | 未保護(要検証) | 対象 | 検証予定 |
| SQS.3 | CRITICAL | SQS キューアクセスポリシーがパブリックアクセスを許可していないこと | 未保護(要検証) | 対象 | 検証予定 |
| EC2.19 | CRITICAL | SG がハイリスクポートへの無制限インバウンドアクセスを許可していないこと | 未保護(要検証) | 対象外 | 検証予定 |
| ES.2 | CRITICAL | Elasticsearch ドメインがパブリックにアクセス可能でないこと | 未保護(要検証) | 対象外 | 検証予定 |
| Opensearch.2 | CRITICAL | OpenSearch ドメインがパブリックにアクセス可能でないこと | 未保護(要検証) | 対象外 | 検証予定 |
| SSM.4 | CRITICAL | SSM ドキュメントがパブリックでないこと | 保護済み(要検証: デフォルトではプライベート) | 対象外 | 検証予定 |
| SSM.7 | CRITICAL | SSM ドキュメントのパブリック共有ブロック設定が有効であること | 未保護(要検証) | 対象外 | 検証予定 |
| EMR.2 | CRITICAL | EMR の BPA 設定が有効であること | 保護済み(要検証: 2019 年以降、新規アカウントでデフォルト有効) | 対象外 | 検証予定 |
| MSK.4 | CRITICAL | MSK クラスターのパブリックアクセスが無効であること | 保護済み(要検証: デフォルトではパブリックアクセス無効) | 対象外 | 検証予定 |
| EKS.1 | HIGH | EKS クラスターエンドポイントがパブリックにアクセス可能でないこと | 未保護(要検証) | 対象外 | 検証予定 |
| Redshift.15 | HIGH | Redshift SG がクラスターポートへのアクセスを制限していること | 未保護(要検証) | 対象外 | 検証予定 |