スナップショット公開

スナップショット（EBS、RDS、DocumentDB、Neptune）が他の AWS アカウントからパブリックに復元可能な状態になっていないかをチェックするコントロール群。

対象コントロール（5 件）

関連する宣言型ポリシー属性: EBS Snapshot Block Public Access（EBS のみ。RDS / DocumentDB / Neptune には対応する宣言型ポリシーがない）

コントロール	重大度	タイトル	デフォルト保護	IAM Access Analyzer	記事
EC2.1	CRITICAL	EBS スナップショットがパブリック共有されていないこと	未保護（検証済み）	対象	検証済み
EC2.182	HIGH	EBS スナップショットの BPA 設定が有効であること	未保護（検証済み）	対象	検証済み
RDS.1	CRITICAL	RDS スナップショットがプライベートであること	保護済み（要検証）	対象	検証予定
DocumentDB.3	CRITICAL	DocumentDB 手動クラスタースナップショットがパブリックでないこと	保護済み（要検証）	対象外	検証予定
Neptune.3	CRITICAL	Neptune DB クラスタースナップショットがパブリックでないこと	保護済み（要検証）	対象外	検証予定

2 件のコントロールはどちらも EBS スナップショットのパブリック共有に関するが、チェックしている対象が異なる。

	EC2.1	EC2.182
チェック対象	パブリック共有スナップショットが存在するか（結果）	アカウントレベルの BPA 設定が有効か（設定）
Config ルール	`ebs-snapshot-public-restorable-check`	`ebs-snapshot-block-public-access`
FAILED になる条件	パブリック共有スナップショットが 1 件でも存在する	BPA が `unblocked` または `block-new-sharing`
PASSED になる条件	パブリック共有スナップショットが 0 件、または BPA が `block-all-sharing`	BPA が `block-all-sharing`

Config ルール ebs-snapshot-public-restorable-check は結果ベース（パブリック共有の有無）で評価するが、BPA が block-all-sharing の場合は実際にパブリック復元が不可能なため、AWS 側で COMPLIANT と判定される。

EC2.1 と EC2.182 は異なる種類の Config ルール評価トリガーを使用しており、宣言型ポリシー適用後の確認方法に影響する。

トリガー	動作
Configuration changes（設定変更トリガー）	Config が監視しているリソースの設定が変更されたときに評価が実行される。変更がなければ評価されない
Periodic（定期実行）	設定変更の有無に関係なく、一定間隔（1時間〜24時間）で評価が実行される

コントロール	Config ルール	トリガー	宣言型ポリシー適用後の挙動
EC2.1	`ebs-snapshot-public-restorable-check`	Periodic	手動トリガーで即座に最新の状態を取得して評価できる
EC2.182	`ebs-snapshot-block-public-access`	Configuration changes	宣言型ポリシーによる BPA 変更を Config が設定変更として認識しないため、評価がトリガーされない。Security Hub の定期スキャンによる反映を待つ必要がある

予防手段	種別	EC2.1 への影響	EC2.182 への影響
CT.EC2.PV.3	SCP	FAILED のまま（設定上のパブリック共有状態は変わらない）	FAILED のまま（BPA 設定を変更しない）
CT.EC2.PV.7	宣言型ポリシー（EBS Snapshot BPA）	PASSED に変化（BPA によりパブリック共有が実質無効化）	PASSED に変化（BPA が block-all-sharing に強制される）（EC2.182 の検証で確認済み）