翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティ
セキュリティカテゴリの次のチェックを使用できます。
注記
で Security Hub を有効にした場合は AWS アカウント、 Trusted Advisor コンソールで検出結果を表示できます。詳細については、「での AWS Security Hub コントロールの表示 AWS Trusted Advisor」を参照してください。
「カテゴリ: 復旧 > 回復力」を持つコントロールを除き、 AWS 基本的なセキュリティのベストプラクティスのセキュリティ標準ですべてのコントロールを表示できます。サポートされるコントロールのリストについては、AWS Security Hub ユーザーガイドの「AWS Foundational Security Best Practices controls」を参照してください。
チェック名
Application Load Balancer のセキュリティグループ
- 説明
-
Application Load Balancer とその Amazon EC2 ターゲットにアタッチされているセキュリティグループをチェックします。Application Load Balancer セキュリティグループは、リスナーで設定されたインバウンドポートのみを許可する必要があります。ターゲットのセキュリティグループは、ターゲットがロードバランサーからトラフィックを受信するのと同じポートのインターネットからの直接接続を受け入れないでください。
セキュリティグループがロードバランサー用に設定されていないポートへのアクセスを許可したり、ターゲットへの直接アクセスを許可したりすると、データ損失や悪意のある攻撃のリスクが高まります。
このチェックでは、次のグループを除外します。
IP アドレスまたは EC2 インスタンスに関連付けられていないターゲットグループ。
IPv6 トラフィックのセキュリティグループルール。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
8604e947f2
- アラート条件
-
-
赤: ターゲットにはパブリック IP と、トラフィックポートへのインバウンド接続をどこからでも許可するセキュリティグループがあります (0.0.0.0/0)。
-
赤: Application Load Balancer では認証が有効になっており、ターゲットはトラフィックポートのインバウンド接続をどこからでも許可します (0.0.0.0/0)。
-
黄: ターゲットのセキュリティグループは、トラフィックポートのインバウンド接続をどこからでも許可します (0.0.0.0/0)。
-
黄: Application Load Balancer セキュリティグループは、対応するリスナーを持たないポートでのインバウンド接続を許可します。
-
緑: Application Load Balancer セキュリティグループは、リスナーと一致するポートでのみインバウンド接続を許可します。
-
- [Recommended Action] (推奨されるアクション)
-
セキュリティを向上させるには、セキュリティグループが必要なトラフィックフローのみを許可していることを確認してください。
Application Load Balancer のセキュリティグループは、リスナーで設定された同じポートに対してのみインバウンド接続を許可する必要があります。
ロードバランサーとターゲットには排他的なセキュリティグループを使用します。
ターゲットセキュリティグループは、関連付けられているロードバランサー (複数可) からのトラフィックポートへの接続のみを許可する必要があります。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
対象グループ
-
ALB 名
-
ALB SG ID
-
ターゲット SG ID
-
認証が有効
-
最終更新日時
-
Amazon CloudWatch ロググループの保持期間
- 説明
-
Amazon CloudWatch ロググループの保持期間が 365 日または特定の日数に設定されているかどうかを確認します。
デフォルトでは、ログは無制限に保持され、失効しません。ただし、業界の規制や特定の期間の法的要件に準拠するように、ロググループごとに保持ポリシーを調整することができます。
AWS Config ルールの LogGroupNames と MinRetentionTime パラメータを使用して、最小保持期間とロググループ名を指定できます。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
c18d2gz186
- ソース
-
AWS Config Managed Rule: cw-loggroup-retention-period-check
- アラート条件
-
黄: Amazon CloudWatch ロググループの保持期間が希望する最小日数を下回っています。
- [Recommended Action] (推奨されるアクション)
-
Amazon CloudWatch Logs に保存されているログデータには、コンプライアンス要件を満たすために 365 日を超える保存期間を設定します。
詳細については、「CloudWatch Logs でのログデータ保管期間の変更」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
リソース
-
AWS Config ルール
-
入力パラメータ
-
最終更新日時
-
Microsoft SQL Server を使用した Amazon EC2 インスタンスのサポートの終了
- 説明
-
直近 24 時間以内に実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの SQL Server バージョンをチェックします。このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、または終了している場合に警告を受け取ります。SQL Server の各バージョンでは、5 年間のメインストリームサポートと 5 年間の延長サポートを含む 10 年間のサポートが提供されます。サポートの終了後には、SQL Server バージョンは定期的なセキュリティ更新を受け取らなくなります。サポートされていないバージョンの SQL Server でアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが生じる可能性があります。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
Qsdfp3A4L3
- アラート条件
-
-
赤: EC2 インスタンスには、サポートが終了した SQL Server バージョンがあります。
-
黄: EC2 インスタンスには、12 か月以内にサポートが終了する SQL Server バージョンがあります。
-
- [Recommended Action] (推奨されるアクション)
-
SQL Server のワークロードをモダナイズするには、Amazon Aurora などの AWS クラウド ネイティブデータベースへのリファクタリングを検討してください。詳細については、「 を使用した Windows ワークロードのモダナイズ AWS
」を参照してください。 フルマネージドデータベースに移行するには、Amazon Relational Database Service (Amazon RDS) への再プラットフォーム化を検討します。詳細については、「Amazon RDS for SQL Server
」を参照してください。 Amazon EC2 で SQL Server をアップグレードするには、オートメーションランブックを使用してアップグレードを簡素化することを検討してください。詳細については、AWS Systems Manager のドキュメントを参照してください。
Amazon EC2 で SQL Server をアップグレードできない場合は、Windows Server 向けサポート終了移行プログラム (EMP) を検討してください。詳細については、EMP のウェブサイト
を参照してください。 - その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
[インスタンス ID]
-
SQL Server バージョン
-
サポートサイクル
-
サポートの終了
-
最終更新日時
-
Microsoft Windows Server を使用した Amazon EC2 インスタンスのサポートの終了
- 説明
-
このチェックは、Microsoft Windows Server のバージョンがサポート終了に近づいているか、サポート終了に達した場合に警告します。各 Windows Server バージョンは、5 年間のメインストリームサポートと 5 年間の延長サポートを含め、10 年間のサポートを提供します。サポートが終了すると、Windows Server バージョンは定期的なセキュリティ更新プログラムを受信しません。サポートされていない Windows Server バージョンでアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが発生する可能性があります。
注記
このチェックは、EC2 インスタンスの起動に使用された AMI に基づいて結果を生成します。現在のインスタンスオペレーティングシステムが起動 AMI と異なる可能性があります。たとえば、Windows Server 2016 AMI からインスタンスを起動し、その後 Windows Server 2019 にアップグレードした場合、起動 AMI は変更されません。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
Qsdfp3A4L4
- アラート基準
-
-
赤: EC2 インスタンスは、サポートが終了した Windows Server バージョン (Windows Server 2003、2003 R2、2008、2008 R2) で実行されます。
-
黄: EC2 インスタンスは、18 か月以内にサポートが終了する Windows Server バージョンで実行されます (Windows Server 2012 および 2012 R2)。
-
- 推奨されるアクション
-
Windows Server ワークロードをモダナイズするには、Windows ワークロードをモダナイズで利用できるさまざまなオプションを検討してください AWS
。 Windows Server ワークロードをアップグレードしてより新しいバージョンの Windows Server で実行するときは、自動化ランブックを使用できます。詳細については、AWS Systems Manager のドキュメントを参照してください。
以下のステップを実行します。
-
Windows Server のバージョンのアップグレード
-
アップグレードの際のハードの停止と起動
-
EC2Config を使用している場合は、EC2Launch に移行します。
-
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
[インスタンス ID]
-
Windows Server バージョン
-
サポートサイクル
-
サポートの終了
-
最終更新日時
-
Ubuntu LTS を使用した Amazon EC2 インスタンスの標準サポートの終了
- 説明
-
このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、終了している場合に警告します。次の LTS に移行するか Ubuntu Pro にアップグレードすることで、対策を講じることが重要です。サポート終了後、18.04 LTS のマシンはセキュリティ更新を受信できなくなります。Ubuntu Pro サブスクリプションを利用すると、Ubuntu 18.04 LTS デプロイは 2028 年まで Expanded Security Maintenance (ESM) を受け取ることができます。パッチが適用されていないセキュリティの脆弱性により、システムがハッカーにさらされ、重大な侵害が発生する可能性があります。
注記
このチェックの結果は少なくとも 1 日 1 回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
c1dfprch15
- アラート条件
-
赤: Amazon EC2 インスタンスに、標準サポートが終了した Ubuntu バージョン (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.6 LTS)
黄色: Amazon EC2 インスタンスに、6 か月以内に標準サポートが終了する Ubuntu バージョン (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.5 LTS、20.04.6 LTS) が含まれています。
緑: すべての Amazon EC2 インスタンスが準拠しています。
- [Recommended Action] (推奨されるアクション)
-
Ubuntu 18.04 LTS インスタンスをサポートされている LTS バージョンにアップグレードするには、こちらの記事
に記載されている手順に従ってください。Ubuntu 18.04 LTS インスタンスを Ubuntu Pro にアップグレードするには、 AWS License Manager コンソールにアクセスし、「AWS License Manager ユーザーガイド」に記載された手順に従ってください。Ubuntu インスタンスを Ubuntu Pro にアップグレードする手順を説明したデモをご覧いただける Ubuntu ブログ も参照してください。 - その他のリソース
-
料金については、サポート
にお問い合わせください。 - [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
Ubuntu LTS バージョン
-
サポートの終了予定日
-
[インスタンス ID]
-
サポートサイクル
-
最終更新日時
-
転送中のデータの暗号化を使用しない Amazon EFS クライアント
- 説明
-
Amazon EFS ファイルシステムが転送中データの暗号化を使用してマウントされているかどうかを確認します。 AWS では、データを偶発的な公開や不正アクセスから保護するため、すべてのデータフローで転送中データの暗号化を使用することを推奨しています。Amazon EFS では、Amazon EFS マウントヘルパーを使用して「-o tls」によるマウント設定を使用し、TLS v1.2 を使用して転送中のデータを暗号化することを推奨しています。
- チェック ID
-
c1dfpnchv1
- アラート条件
-
黄色: Amazon EFS ファイルシステムの 1 つ以上の NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用していません。
緑: Amazon EFS ファイルシステムのすべての NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用しています。
- [Recommended Action] (推奨されるアクション)
-
Amazon EFS で転送中のデータの暗号化機能を利用するには、Amazon EFS マウントヘルパーおよび推奨されるマウント設定を使用して、ファイルシステムを再マウントすることをお勧めします。
注記
一部の Linux ディストリビューションには、デフォルトで TLS 機能をサポートする stunnel のバージョンが含まれていません。サポートされていない Linux ディストリビューションを使用している場合 (「Amazon Elastic File System ユーザーガイド」の「サポートされているディストリビューション」を参照)、推奨されるマウント設定で再マウントする前にアップグレードすることをお勧めします。 Amazon Elastic File System
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
EFS ファイルシステム ID
-
接続が暗号化されていない AZ
-
最終更新日時
-
Amazon EBS パブリックスナップショット
- 説明
-
Amazon Elastic Block Store (Amazon EBS) ボリュームスナップショットのアクセス許可設定をチェックし、スナップショットが一般にアクセス可能である場合に警告します。
スナップショットを公開すると、すべての AWS アカウント および ユーザーにスナップショット上のすべてのデータへのアクセス権が付与されます。スナップショットを特定のユーザーまたはアカウントとのみ共有するには、スナップショットをプライベートとしてマークします。次に、スナップショットデータを共有するユーザーまたはアカウントを指定します。ブロックパブリックアクセスを「すべての共有をブロック」モードで有効にしている場合、パブリックスナップショットはパブリックにアクセスできず、このチェックの結果に表示されないことに注意してください。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
- チェック ID
-
ePs02jT06w
- アラート条件
-
赤: EBS ボリュームスナップショットはパブリックにアクセス可能です。
- [Recommended Action] (推奨されるアクション)
-
スナップショット内のすべてのデータをすべての AWS アカウント および ユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「Amazon EBS スナップショットの共有」を参照してください。EBS スナップショットのパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。このチェックを Trusted Advisor コンソールのビューから除外することはできません。
スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用します。詳細については、「
AWSSupport-ModifyEBSSnapshotPermission
」を参照してください。 - その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
ボリューム ID
-
スナップショット ID
-
説明
-
Amazon RDS Aurora ストレージの暗号化は無効になっています
- 説明
-
Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。
Aurora DB クラスターの作成時に暗号化が有効になっていない場合は、復号化されたスナップショットを暗号化された DB クラスターに復元する必要があります。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
注記
DB インスタンスまたは DB クラスターが停止すると、3~5 Trusted Advisor 日間の Amazon RDS レコメンデーションを で表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。
DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。
- チェック ID
-
c1qf5bt005
- アラート条件
-
赤: Amazon RDS Aurora リソースでは暗号化が有効になっていません。
- [Recommended Action] (推奨されるアクション)
-
DB クラスターの保管中のデータの暗号化を有効にします。
- その他のリソース
-
DB インスタンスの作成時に暗号化を有効にすることも、回避策を使用してアクティブな DB インスタンスの暗号化を有効にすることもできます。復号化された DB クラスターを暗号化された DB クラスターに変更することはできません。ただし、複合化されたスナップショットを暗号化された DB クラスターに復元することはできます。復号されたスナップショットから復元する場合は、 AWS KMS キーを指定する必要があります。
詳細については、「Amazon Aurora リソースの暗号化」を参照してください。
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
リソース
-
エンジン名
-
最終更新日時
-
Amazon RDS エンジンのマイナーバージョンアップグレードが必須です。
- 説明
-
データベースリソースで最新のマイナー DB エンジンバージョンが実行されていません。最新のマイナーバージョンには、最新のセキュリティ修正プログラムやその他の改善が含まれています。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
注記
DB インスタンスまたは DB クラスターが停止すると、3~5 Trusted Advisor 日間の Amazon RDS レコメンデーションを で表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。
DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。
- チェック ID
-
c1qf5bt003
- アラート条件
-
黄: Amazon RDS リソースは最新のマイナー DB エンジンバージョンを実行していません。
- [Recommended Action] (推奨されるアクション)
-
最新バージョンにアップグレードします。
- その他のリソース
-
最新の DB エンジンのマイナーバージョンには、最新のセキュリティと機能の修正が含まれているため、このバージョンでデータベースを保守することをお勧めします。DB エンジンのマイナーバージョンのアップグレードには、DB エンジンの同じメジャーバージョンの以前のマイナーバージョンと後方互換性のあるデータベースの変更のみが含まれます。
詳細については、「DB インスタンスのエンジンバージョンのアップグレード」を参照してください。
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
リソース
-
エンジン名
-
現行のエンジンバージョン
-
推奨値
-
最終更新日時
-
Amazon RDS パブリックスナップショット
- 説明
-
Amazon Relational Database Service (Amazon RDS) DB スナップショットのアクセス許可設定をチェックし、スナップショットがパブリックとしてマークされている場合に警告します。
スナップショットを公開すると、すべての AWS アカウント および ユーザーにスナップショット上のすべてのデータへのアクセス権が付与されます。スナップショットを特定のユーザーまたはアカウントをのみ共有する場合は、そのスナップショットをプライベートとしてマークします。その後にスナップショットデータを共有するユーザーまたはアカウントを指定します。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
- チェック ID
-
rSs93HQwa1
- アラート条件
-
赤: Amazon RDS スナップショットはパブリックとしてマークされています。
- [Recommended Action] (推奨されるアクション)
-
スナップショット内のすべてのデータをすべての AWS アカウント および ユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「DB スナップショットまたは DB クラスタースナップショットの共有」を参照してください。このチェックを Trusted Advisor コンソールのビューから除外することはできません。
スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用できます。詳細については、「
AWSSupport-ModifyRDSSnapshotPermission
」を参照してください。 - その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
DB インスタンスまたはクラスター ID
-
スナップショット ID
-
Amazon RDS セキュリティグループのアクセスリスク
- 説明
-
Amazon Relational Database Service(Amazon RDS)のセキュリティグループ設定をチェックし、セキュリティグループルールでデータベースへの過度なアクセスが許可されている場合に警告します。セキュリティグループルールの推奨設定は、特定の Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループまたは特定の IP アドレスからのアクセスのみを許可することです。
注記
このチェックでは、toAmazon RDS インスタンスにアタッチされているセキュリティグループのみが評価されます。 https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html
- チェック ID
-
nNauJisYIT
- アラート条件
-
-
黄: DB セキュリティグループルールは、次のポートのいずれかでグローバルアクセス権を付与する Amazon EC2 セキュリティグループを参照しています: 20、21、22、1433、1434、3306、3389、4333、5432、5500。
-
赤: DB セキュリティグループルールはグローバルアクセス権を付与します (CIDR ルールのサフィックスは /0)。
-
緑: DB セキュリティグループには、許容ルールは含まれません。
-
- [Recommended Action] (推奨されるアクション)
-
EC2-Classic は 2022 年 8 月 15 日に廃止されました。Amazon RDS インスタンスを VPC に移動し、Amazon EC2 セキュリティグループを使用することをお勧めします。DB インスタンスを VPC に移動する方法の詳細については、「VPC 内にない DB インスタンスを VPC に移動する」を参照してください。
Amazon RDS インスタンスを VPC に移行できない場合は、セキュリティグループのルールを確認し、承認された IP アドレスまたは IP 範囲へのアクセスを制限します。セキュリティグループを編集するには、AuthorizeDBSecurityGroupIngress API または AWS Management Consoleを使用します。詳細については、「DB セキュリティグループの操作」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
RDS セキュリティグループ名
-
受信ルール
-
理由
-
Amazon RDS ストレージの暗号化は無効になっています。
- 説明
-
Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。
DB インスタンスの作成時に暗号化が有効になっていない場合は、暗号化を有効にする前に、復号化されたスナップショットの暗号化されたコピーを復元する必要があります。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
注記
DB インスタンスまたは DB クラスターが停止すると、3~5 Trusted Advisor 日間の Amazon RDS レコメンデーションを で表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。
DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。
- チェック ID
-
c1qf5bt006
- アラート条件
-
赤: Amazon RDS リソースでは暗号化が有効になっていません。
- [Recommended Action] (推奨されるアクション)
-
DB インスタンスの保管中のデータの暗号化を有効にします。
- その他のリソース
-
DB インスタンスを暗号化できるのは、DB インスタンスを作成するときだけです。既存のアクティブな DB インスタンスを暗号化するには:
元の DB インスタンスの暗号化されたコピーを作成する
-
DB インスタンスのスナップショットを作成します。
-
ステップ 1 で作成したスナップショットの暗号化されたコピーを作成します。
-
暗号化されたスナップショットから DB インスタンスを復元します。
詳細については、以下のリソースを参照してください。
-
DB スナップショットのコピー
-
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
リソース
-
エンジン名
-
最終更新日時
-
S3 バケットを直接指定する Amazon Route 53 の CNAME レコードの不一致
- 説明
-
Amazon S3 バケットのホスト名を直接指す CNAME レコードを持つ Amazon Route 53 ホストゾーンをチェックし、CNAME が S3 バケット名と一致しない場合にアラートを出します。
- チェック ID
-
c1ng44jvbm
- アラート条件
-
赤: Amazon Route 53 ホストゾーンに、S3 バケットのホスト名の不一致を示す CNAME レコードがあります。
緑: Amazon Route 53 ホストゾーンと一致しない CNAME レコードはありませんでした。
- [Recommended Action] (推奨されるアクション)
-
CNAME レコードを S3 バケットのホスト名に指定する場合は、設定した CNAME またはエイリアスレコードと一致するバケットが存在することを確認する必要があります。これにより、CNAME レコードが偽装されるリスクを回避できます。また、権限のない AWS ユーザーがドメインで障害や悪意のあるウェブコンテンツをホストしないようにします。
CNAME レコードが S3 バケットのホスト名に直接指定されないようにするには、オリジンアクセスコントロール (OAC) を使用し、Amazon CloudFront を通じて S3 バケットのウェブアセットにアクセスすることを検討してください。
CNAME を Amazon S3 バケットのホスト名に関連付ける方法の詳細については、「CNAME レコードを使用した Amazon S3 URL のカスタマイズ」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
ホストゾーン ID
-
ホストゾーン ARN
-
一致する CNAME レコード
-
一致しない CNAME レコード
-
最終更新日時
-
Amazon Route 53 MX リソースレコードセットと Sender Policy Framework
- 説明
-
MX レコードごとに、 は有効な SPF 値を含む関連付けられた TXT レコードをチェックします。TXT レコード値は「v=spf1」で始まる必要があります。SPF レコードタイプは、Internet Engineering Task Force (IETF) によって廃止されました。Route 53 では、SPF レコードの代わりに TXT レコードを使用するのがベストプラクティスではありません。MX レコードに有効な SPF 値を持つ TXT レコードが少なくとも 1 つ関連付けられている場合、 はこのチェックを緑色として Trusted Advisor 報告します。
- チェック ID
-
c9D319e7sG
- アラート条件
-
-
緑: MX リソースレコードセットには、有効な SPF 値を含む TXT リソースレコードがあります。
-
黄: MX リソースレコードセットには、有効な SPF 値を含む TXT または SPF リソースレコードがあります。
-
赤: MX リソースレコードセットには、有効な SPF 値を含む TXT または SPF リソースレコードがありません。
-
- [Recommended Action] (推奨されるアクション)
-
MX リソースレコードセットごとに、有効な SPF 値を含む TXT リソースレコードセットを作成します。詳細については、「Sender Policy Framework: SPF Record Syntax
」(Sender Policy Framework: SPF レコード構文) および「Amazon Route 53 コンソールを使用したリソースレコードセットの作成」を参照してください。 - その他のリソース
- [Report columns] (レポート列)
-
-
ホストゾーン名
-
ホストゾーン ID
-
リソースレコードセット名
-
ステータス
-
Amazon S3 バケット許可
- 説明
-
オープンアクセス許可を持つ、または認証された AWS ユーザーへのアクセスを許可する Amazon Simple Storage Service (Amazon S3) のバケットをチェックします。
このチェックでは、明示的なバケットアクセス許可、およびそのアクセス許可をオーバーライドする可能性のあるバケットポリシーが調べられます。Amazon S3 バケットのすべてのユーザーにリストアクセス許可を付与することは推奨されません。これらのアクセス許可により、意図しないユーザーがバケット内のオブジェクトを頻繁にリストすることがあります。結果として、予想される料金よりも高くなる可能性があります。すべてのユーザーにアップロードと削除のアクセス許可を付与すると、バケットのセキュリティの脆弱性が生じる可能性があります。
- チェック ID
-
Pfx0RwqBli
- アラート基準
-
-
黄色: バケット ACL では、[全員] または [認証済みの AWS ユーザー] に対して「リスト」アクセスが許可されます。
-
黄: バケットポリシーは、あらゆる種類のオープンアクセスを許可します。
-
黄: バケットポリシーには、パブリックアクセス権を付与するステートメントがあります。[Block public and cross-account access to buckets that have public policies] (パブリックポリシーが設定されているバケットへのパブリックアクセスとクロスアカウントアクセスをブロック) がオンになり、パブリックステートメントが削除されるまで、そのアカウントの許可されたユーザーのみにアクセスが制限されます。
-
黄: Trusted Advisor ポリシーまたは ACL を確認するアクセス許可がないか、ポリシーまたは ACL を他の理由で評価できませんでした。
-
赤色: バケット ACL では、[全員] または [認証済みの AWS ユーザー] に対して「アップロード」および「削除」アクセスが許可されます。
-
緑: すべての Amazon S3 は ACL および/またはバケットポリシーに準拠しています。
-
- 推奨されるアクション
-
バケットがオープンアクセスを許可している場合、オープンアクセスが本当に必要かどうかを判断します。たとえば、静的ウェブサイトをホストするには、Amazon CloudFront を使用して Amazon S3 でホストされているコンテンツを提供できます。Amazon CloudFront デベロッパーガイドのAmazon S3オリジンへのアクセスの制限」を参照してください。可能であれば、バケットのアクセス許可を更新して、所有者または特定のユーザーへのアクセスを制限します。Amazon S3 のパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。「バケットとオブジェクトのアクセス許可の設定」を参照してください。
- 追加リソース
-
Managing Access Permissions to Your Amazon S3 Resources (Amazon S3 リソースへのアクセス許可の管理)
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン名
-
リージョン API パラメータ
-
バケット名
-
ACL でリストを許可
-
ACL でアップロード/削除を許可
-
ポリシーでアクセスを許可
-
DNS 解決が無効になっている Amazon VPC ピアリング接続
- 説明
-
VPC ピアリング接続で、アクセプターとリクエスター VPC の両方の DNS 解決が有効になっているかどうかを確認します。
VPC ピアリング接続の DNS 解決により、パブリック DNS ホスト名がプライベート IPv4 アドレスに解決されるように VPC からクエリを実行することができます。これにより、ピアリングされた VPC 内のリソース間の通信に DNS 名を使用できるようになります。VPC ピアリング接続の DNS 解決により、アプリケーションの開発と管理が簡単になり、エラーが発生しにくくなります。また、リソースは常に VPC ピアリング接続を介してプライベートに通信できます。
AWS Config ルールの vpcIds パラメータを使用して VPC IDs を指定できます。
詳細については、「VPC ピアリング接続の DNS 解決を有効にする」を参照してください。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
c18d2gz124
- ソース
-
AWS Config Managed Rule: vpc-peering-dns-resolution-check
- アラート条件
-
黄: VPC ピアリング接続のアクセプター VPC とリクエスタ VPC の両方で DNS 解決が有効になっていません。
- [Recommended Action] (推奨されるアクション)
-
VPC ピアリング接続の DNS 解決を有効にします。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
リソース
-
AWS Config ルール
-
入力パラメータ
-
最終更新日時
-
Application Load Balancer ターゲットグループ暗号化プロトコル
- 説明
-
Application Load Balancer (ALB) ターゲットグループが HTTPS プロトコルを使用して、インスタンスまたは IP のバックエンドターゲットタイプの転送中の通信を暗号化していることを確認します。ALB とバックエンドターゲット間の HTTPS リクエストは、転送中のデータの機密性を維持するのに役立ちます。
- チェック ID
-
c2vlfg0p1w
- アラート条件
-
-
黄: HTTP を使用する Application Load Balancer ターゲットグループ。
-
緑: HTTPS を使用する Application Load Balancer ターゲットグループ。
-
- [Recommended Action] (推奨されるアクション)
-
HTTPS アクセスをサポートするようにバックエンドのターゲットタイプのインスタンスまたは IP を設定し、HTTPS プロトコルを使用して ALB とバックエンドのターゲットタイプのインスタンスまたは IP 間の通信を暗号化するようにターゲットグループを変更します。
- その他のリソース
-
Application Load Balancer のターゲットタイプ
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
ALB Arn
-
ALB 名
-
ALB VPC ID
-
ターゲットグループ Arn
-
ターゲットグループ名
-
ターゲットグループプロトコル
-
最終更新日時
-
AWS Backup 復旧ポイントの削除を防ぐためのリソースベースのポリシーがないボールト
- 説明
-
AWS Backup ボールトに、復旧ポイントの削除を防止するリソースベースのポリシーがアタッチされているかどうかを確認します。
リソースベースのポリシーにより、リカバリポイントが予期せず削除されるのを防ぐことができるため、バックアップデータに対して最小特権でアクセス制御を行うことができます。
ルールがルールの principalArnList パラメータ AWS Config でチェックしない AWS Identity and Access Management ARNsを指定できます。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
c18d2gz152
- ソース
-
AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled
- アラート条件
-
黄: 復旧ポイントの削除を防ぐためのリソースベースのポリシーがない AWS Backup ボールトがあります。
- [Recommended Action] (推奨されるアクション)
-
復旧ポイントの予期しない削除を防ぐため、 AWS Backup ボールトのリソースベースのポリシーを作成します。
ポリシーには、backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy 権限を含む「拒否」ステートメントを含める必要があります。
詳細については、「Set access policies on backup vaults」を参照してください。
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
リソース
-
AWS Config ルール
-
入力パラメータ
-
最終更新日時
-
AWS CloudTrail ログ記録
- 説明
-
の使用を確認します AWS CloudTrail。CloudTrail は、アカウントで行われた AWS API コールに関する情報を記録 AWS アカウント することで、 のアクティビティの可視性を向上させます。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。
CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、CloudTrail には、そのバケットに対する書き込みアクセス許可が必要です。証跡をすべてのリージョンに適用する場合 (新しい証跡を作成した場合のデフォルト)、証跡は Trusted Advisor レポートに複数回表示されます。
- チェック ID
-
vjafUGJ9H0
- アラート条件
-
-
黄: CloudTrail は、証跡のログ配信エラーを報告します。
-
赤: リージョンの証跡が作成されていないか、証跡のログ記録がオフになっています。
-
- [Recommended Action] (推奨されるアクション)
-
証跡を作成してコンソールからログ記録を開始するには、AWS CloudTrail コンソール
に移動します。 ログ記録を開始するには、「Stopping and Starting Logging for a Trail」(証跡のログ記録の停止と開始) を参照してください。
ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認してください。「Amazon S3 バケットポリシー」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
証跡名
-
ログ記録のステータス
-
バケット名
-
ログ配信日
-
AWS CloudTrail 管理イベントのログ記録
- 説明
-
の使用を確認します AWS CloudTrail。CloudTrail は、 のアクティビティをより詳細に可視化します AWS アカウント。これを行うには、アカウントで行われた AWS API コールに関する情報を記録します。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。
CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、CloudTrail には、そのバケットに対する書き込みアクセス許可が必要です。証跡がすべての AWS リージョン に適用される場合 (新しい証跡を作成するときのデフォルト)、証跡はレポートに Trusted Advisor 複数回表示されます。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
c25hn9x03v
- アラート条件
-
-
赤: の証跡が作成されないか AWS リージョン、証跡のログ記録が有効になっていません。
-
黄: CloudTrail は有効ですが、すべての証跡でログ配信エラーが報告されます。
-
緑: CloudTrail は有効になっており、ログ配信エラーは報告されません。
-
- [Recommended Action] (推奨されるアクション)
-
証跡を作成し、 コンソールからログ記録を開始するには、 AWS CloudTrail コンソール
を開きます。 ログ記録を開始するには、「Stopping and Starting Logging for a Trail」(証跡のログ記録の停止と開始) を参照してください。
ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認します。「Amazon S3 バケットポリシー」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
ログ記録が有効
-
配信エラーが報告されました
-
最終更新日時
-
AWS Lambda 非推奨ランタイムを使用する関数
- 説明
-
$LATEST バージョンが非推奨に近づいているランタイムを使用するように設定されている場合、または非推奨になっている Lambda 関数をチェックします。非推奨のランタイムは、セキュリティ更新プログラムまたはテクニカルサポートの対象外です
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
公開された Lambda 関数のバージョンは不変です。つまり、呼び出すことはできますが、更新することはできません。更新できるのは Lambda 関数の
$LATEST
バージョンのみです。詳細については、「Lambda 関数のバージョン」を参照してください。 - チェック ID
-
L4dfs2Q4C5
- アラート条件
-
-
赤: 関数の $LATEST バージョンは、既に廃止されているランタイムを使用するように設定されています。
-
黄: 関数の $LATEST バージョンは、180 日以内に廃止されるランタイムで実行されています。
-
- [Recommended Action] (推奨されるアクション)
-
もうすぐ非推奨になるランタイムで実行されている関数がある場合は、サポート対象のランタイムへの移行に向けて準備する必要があります。詳細については、「Runtime support policy」(ランタイムサポートポリシー) を参照してください。
使用しなくなった以前の関数バージョンを削除することをお勧めします。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
関数 ARN
-
ランタイム
-
非推奨になるまでの日数
-
廃止日
-
平均日次呼び出し
-
最終更新日時
-
セキュリティに関する AWS Well-Architected のリスクの高い問題
- 説明
-
セキュリティの柱で、ワークロードに関するリスクの高い問題 (HRI) をチェックします。このチェックは、お客様の AWS-Well Architected レビューに基づきます。チェック結果は、AWS Well-Architected でワークロード評価を完了したかどうかによって異なります。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
- チェック ID
-
Wxdfp4B1L3
- アラート条件
-
-
赤: AWS Well-Architected のセキュリティの柱で、少なくとも 1 つのアクティブな高リスクの問題が特定されました。
-
緑: AWS Well-Architected のセキュリティの柱でアクティブな高リスクの問題は検出されませんでした。
-
- [Recommended Action] (推奨されるアクション)
-
AWS Well-Architected は、ワークロード評価中に高リスクの問題を検出しました。これらの問題は、リスクを軽減し、費用を節約する機会を提示します。AWS Well-Architected
ツールにサインインして、回答を確認し、アクティブな問題を解決するためのアクションを実行します。 - [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
ワークロードの ARN
-
ワークロード名
-
レビュー担当者名
-
ワークロードタイプ
-
ワークロードの開始日
-
ワークロードの最終変更日
-
セキュリティについて特定された HRI の数
-
セキュリティについて解決された HRI の数
-
セキュリティについての質問の数
-
セキュリティの柱の質問の総数
-
最終更新日時
-
IAM 証明書ストアの CloudFront 独自 SSL 証明書
- 説明
-
注記
このチェックは、従来の Amazon CloudFront ディストリビューションに適用されます。
IAM 証明書ストア内の CloudFront 代替ドメイン名の SSL 証明書をチェックします。このチェックでは、証明書の期限が切れている場合、近日中に証明書の期限が切れる場合、証明書で古い暗号化が使用されている場合、またはディストリビューションに対して証明書が正しく構成されていない場合にアラートが発生します。
代替ドメイン名のカスタム証明書の有効期限が切れると、CloudFront コンテンツを表示するブラウザにウェブサイトのセキュリティに関する警告メッセージが表示されることがあります。SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのほとんどのウェブブラウザで廃止されています。
証明書には、オリジンドメイン名、またはビューワーリクエストのホストヘッダー内のドメイン名のいずれかに一致するドメイン名が含まれている必要があります。一致しない場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) をユーザーに返します。詳細については、「代替ドメイン名と HTTPS の使用」を参照してください。
- チェック ID
-
N425c450f2
- アラート条件
-
-
赤: カスタム SSL 証明書の有効期限が切れています。
-
黄: カスタム SSL 証明書は今後 7 日で期限切れになります。
-
黄: カスタム SSL 証明書が SHA-1 ハッシュアルゴリズムを使用して暗号化されています。
-
黄: ディストリビューション内の 1 つ以上の代替ドメイン名が、カスタム SSL 証明書の [Common Name] (共通名) フィールドにも [Subject Alternative Names] (サブジェクト代替名) フィールドにも表示されません。
-
- [Recommended Action] (推奨されるアクション)
-
AWS Certificate Manager を使用してサーバー証明書をプロビジョニング、管理、デプロイすることをお勧めします。ACM を使用すると、新しい証明書をリクエストしたり、既存の ACM または外部証明書を AWS リソースにデプロイしたりできます。ACM が提供する証明書は無料で、自動的に更新できます。ACM の使用の詳細については、AWS Certificate Manager ユーザーガイドを参照してください。 AWS リージョン ACM がサポートしていることを確認するには、「」のAWS Certificate Manager 「エンドポイントとクォータ」を参照してください AWS 全般のリファレンス。
期限切れの証明書または期限切れが近い証明書を更新します。証明書の更新の詳細については、「IAM でのサーバー証明書の管理」を参照してください。
SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。
証明書を、[Common Names] (共通名) フィールドまたは [Subject Alternative Domain Names] (サブジェクト代替ドメイン名) フィールドに該当する値を含む証明書に置き換えます。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
ディストリビューション ID
-
ディストリビューションドメイン名
-
証明書名
-
理由
-
オリジンサーバーの CloudFront 独自 SSL 証明書
- 説明
-
オリジンサーバーで、有効期限が切れている SSL 証明書、有効期限が近づいている SSL 証明書、欠落している SSL 証明書、または古い暗号化を使用している SSL 証明書をチェックします。証明書に上記のいずれかの問題がある場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) を使用してコンテンツのリクエストに応答します。
SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのウェブブラウザで非推奨になる予定です。CloudFront ディストリビューションに関連付けられている SSL 証明書の数によっては、このチェックにより、CloudFront ディストリビューションのオリジンとして Amazon EC2 または Elastic Load Balancing AWS を使用している場合など、ウェブホスティングプロバイダーの請求書に 1 か月あたり数セントが追加される場合があります。このチェックでは、オリジン証明書チェーンまたは認証局は検証されません。これらは CloudFront 設定で確認できます。
- チェック ID
-
N430c450f2
- アラート条件
-
-
赤: オリジンの SSL 証明書の有効期限が切れているか、存在しません。
-
黄: オリジンの SSL 証明書は今後 30 日以内に期限切れになります。
-
黄: オリジンの SSL 証明書が SHA-1 ハッシュアルゴリズムを使用して暗号化されています。
-
黄: オリジンの SSL 証明書が見つかりません。タイムアウトや他の HTTPS 接続の問題により、接続が失敗した可能性があります。
-
- [Recommended Action] (推奨されるアクション)
-
有効期限が切れているか、間もなく期限切れになる場合は、オリジンで証明書を更新します。
証明書が存在しない場合は追加します。
SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
ディストリビューション ID
-
ディストリビューションドメイン名
-
オリジン
-
理由
-
ELB リスナーのセキュリティ
- 説明
-
暗号化された通信に推奨されるセキュリティ設定を使用しないリスナーを持つクラシックロードバランサーをチェックします。 AWS では、安全なプロトコル (HTTPS または SSL)、up-to-dateセキュリティポリシー、安全な暗号とプロトコルを使用することをお勧めします。フロントエンド接続 (クライアントからロードバランサー) にセキュアプロトコルを使用する場合、リクエストはクライアントとロードバランサーの間で暗号化されます。これにより、より安全な環境が作成されます。Elastic Load Balancing は、セキュリティに関する AWS のベストプラクティスに準拠する暗号化およびプロトコルを使用する事前定義済みのセキュリティポリシーを提供します。新しい構成が利用可能になると、事前定義済みのポリシーの新しいバージョンがリリースされます。
- チェック ID
-
a2sEc6ILx
- アラート条件
-
-
赤: ロードバランサーには、セキュアプロトコル (HTTPS) で設定されたリスナーがありません。
-
黄: ロードバランサーの HTTPS リスナーは、弱い暗号を含むセキュリティポリシーで設定されています。
-
黄: ロードバランサーの HTTPS リスナーに、推奨されるセキュリティポリシーが設定されていません。
-
緑: ロードバランサーに少なくとも 1 つの HTTPS リスナーがあり、すべての HTTPS リスナーが推奨ポリシーで設定されています。
-
- [Recommended Action] (推奨されるアクション)
-
ロードバランサーへのトラフィックをセキュリティで保護する必要がある場合は、フロントエンド接続に HTTPS または SSL プロトコルを使用します。
ロードバランサーを事前定義済みの SSL セキュリティポリシーの最新バージョンにアップグレードします。
推奨される暗号とプロトコルのみを使用してください。
詳細については、「Listener Configurations for Elastic Load Balancing」(Elastic Load Balancing のリスナー設定) を参照してください。
- その他のリソース
-
-
SSL Negotiation Configurations for Elastic Load Balancing (Elastic Load Balancing の SSL ネゴシエーション設定)
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
ロードバランサー名
-
ロードバランサーのポート
-
理由
-
Classic Load Balancer セキュリティグループ
- 説明
-
ロードバランサー用に設定されていないポートへのアクセスを許可するセキュリティグループで設定されたロードバランサーをチェックします。
ロードバランサー用に設定されていないポートへのアクセスがセキュリティグループで許可されている場合、データの損失や悪意のある攻撃のリスクが高くなります。
- チェック ID
-
xSqX82fQu
- アラート条件
-
-
黄: ロードバランサーに関連付けられた Amazon VPC セキュリティグループのインバウンドルールは、ロードバランサーのリスナー設定で定義されていないポートへのアクセスを許可します。
-
緑: ロードバランサーに関連付けられた Amazon VPC セキュリティグループのインバウンドルールは、ロードバランサーリスナー設定で定義されていないポートへのアクセスを許可しません。
-
- [Recommended Action] (推奨されるアクション)
-
セキュリティグループルールを設定して、ロードバランサーのリスナー設定で定義されたポートとプロトコル、および Path MTU Discovery をサポートする ICMP プロトコルのみにアクセスを制限します。「Listeners for Your Classic Load Balancer」(Classic Load Balancer のリスナー) および「Security Groups for Load Balancers in a VPC」(VPC のロードバランサーのセキュリティグループ) を参照してください。
セキュリティグループがない場合は、ロードバランサーに新しいセキュリティグループを適用します。ロードバランサーのリスナー設定で定義されているポートとプロトコルのみにアクセスを制限するセキュリティグループルールを作成します。「VPC でのロードバランサーのセキュリティグループ」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
ロードバランサー名
-
セキュリティグループ ID
-
理由
-
露出したアクセスキー
- 説明
-
一般に露出されているアクセスキー、およびアクセスキーが侵害された結果である可能性のある Amazon Elastic Compute Cloud (Amazon EC2) の不規則な使用状況について頻繁に使用されているコードリポジトリをチェックします。
アクセスキーは、アクセスキー ID とそれに対応するシークレットアクセスキーで構成されます。露出したアクセスキーは、アカウントや他のユーザーにセキュリティ上のリスクの原因となり、不正な活動や不正使用に起因する過度の請求が発生する可能性があるだけでなく、AWS カスタマーアグリーメント
の違反になることがあります。 アクセスキーが露出している場合は、直ちにアカウントを保護してください。アカウントを過剰な料金から保護するために、 AWS は一時的に一部の AWS リソースを作成する機能を制限します。これにより、アカウントのセキュリティが確保されるわけではありません。課金される可能性のある不正使用を部分的に制限するだけです。
注記
このチェックでは、露出したアクセスキーまたは侵害された EC2 インスタンスの識別は保証されません。アクセスキーと AWS リソースの安全性とセキュリティは、最終的にお客様の責任となります。
注記
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
アクセスキーの期限が表示され AWS アカウント た場合は、その日付までに不正使用が停止されない場合、 を停止 AWS できます。アラートがエラー状態であると思われる場合は、AWS サポートまで問い合わせてください
。 に表示される情報は、アカウントの最新の状態を反映していない Trusted Advisor 場合があります。アカウントで公開されているすべてのアクセスキーが解決されるまで、公開されたアクセスキーが解決済みとしてマークされることはありません。このデータ同期には、最大 1 週間かかる場合があります。
- チェック ID
-
12Fnkpl8Y5
- アラート条件
-
-
赤: 侵害された可能性がある - インターネットで公開され、侵害された (使用された) 可能性があるアクセスキー ID と対応するシークレットアクセスキー AWS を特定しました。
-
赤: 公開済み – は、インターネットで公開されているアクセスキー ID と対応するシークレットアクセスキー AWS を識別しました。
-
赤: 疑わしいです - Amazon EC2 の不規則な使用は、アクセスキーが侵害された可能性があることを示唆していますが、インターネット上で公開されていると識別されてはいません。
-
- [Recommended Action] (推奨されるアクション)
-
影響を受けるアクセスキーを可能な限り早急に削除します。キーが IAM ユーザーに関連付けられている場合は、「IAM ユーザーのアクセスキーの管理」を参照してください。
アカウントで不正使用がないか確認してください。AWS Management Console
にサインインし、疑わしいリソースがないか各サービスコンソールを確認します。Amazon EC2 インスタンスの実行、スポットインスタンスリクエスト、アクセスキー、IAM ユーザーには特に注意してください。Billing and Cost Management コンソール で全体的な使用状況を確認することもできます。 - その他のリソース
- [Report columns] (レポート列)
-
-
アクセスキー ID
-
ユーザー名 (IAM またはルート)
-
不正行為のタイプ
-
ケース ID
-
更新日時
-
場所
-
Deadline
-
使用状況 (USD/日)
-
IAM アクセスキーローテーション
- 説明
-
過去 90 日間にローテーションされていないアクティブな IAM アクセスキーをチェックします。
アクセスキーを定期的にローテーションすると、侵害されたキーが知らないうちにリソースへのアクセスに使用される可能性を削減できます。このチェックでの最後のローテーション日時は、アクセスキーが作成された日または最後にアクティブ化された日です。アクセスキーの番号と日付は
access_key_1_last_rotated
およびaccess_key_2_last_rotated
情報を直近の IAM 認証情報レポートから取得されます。認証情報レポートの再生頻度は制限されているため、このチェックを更新しても最近の変更が反映されない場合があります。詳細については、「AWS アカウントの認証情報レポートの取得」を参照してください。
アクセスキーを作成してローテーションするには、ユーザーに適切な許可が必要です。詳細については、「Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys」(自らのパスワード、アクセスキー、および SSH キーの管理をユーザーに許可する) を参照してください。
- チェック ID
-
DqdJqYeRm5
- アラート条件
-
-
緑: アクセスキーはアクティブで、過去 90 日間にローテーションされています。
-
黄: アクセスキーはアクティブで、過去 2 年間でローテーションされましたが、90 日を超える期間が経過しています。
-
赤: アクセスキーはアクティブで、過去 2 年間ローテーションされていません。
-
- [Recommended Action] (推奨されるアクション)
-
アクセスキーを定期的にローテーションします。「アクセスキーの更新」および「IAM ユーザーのアクセスキーの管理」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
IAM ユーザー
-
アクセスキー
-
最後にローテーションしたキー
-
理由
-
IAM Access Analyzer の外部アクセス
- 説明
-
アカウントレベルで IAM Access Analyzer の外部アクセスが存在するかどうかを確認します。
IAM Access Analyzer 外部アクセスアナライザーは、外部エンティティと共有されているアカウント内のリソースを識別するのに役立ちます。次に、アナライザーは検出結果を含む一元化されたダッシュボードを作成します。新しいアナライザーが IAM コンソールでアクティブ化されると、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントを優先できます。外部アクセスアナライザーは、 リソースのパブリックアクセスとクロスアカウントアクセスの検出結果を作成し、追加料金なしで提供します。
- チェック ID
-
07602fcad6
- アラート条件
-
-
赤: アナライザーの外部アクセスはアカウントレベルでアクティブ化されていません。
-
緑: アナライザーの外部アクセスはアカウントレベルでアクティブ化されます。
-
- [Recommended Action] (推奨されるアクション)
-
アカウントごとに外部アクセスアナライザーを作成すると、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントを優先できます。詳細については、「検出 AWS Identity and Access Management Access Analyzer 結果の開始方法」を参照してください。
さらに、未使用のアクセスアナライザーを利用するのがベストプラクティスです。これは、未使用のアクセスの検査を簡素化して最小特権に導く有料機能です。詳細については、「IAM ユーザーとロールに付与された未使用のアクセスの特定」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
アカウント外部アクセスアナライザー Arn
-
Organization External Access Analyzer の ARN
-
最終更新日時
-
IAM パスワードポリシー
- 説明
-
アカウントのパスワードポリシーをチェックし、パスワードポリシーが有効になっていない場合やパスワードコンテンツの要件が有効になっていない場合に警告します。
パスワードコンテンツの要件は、強力なユーザーパスワードの作成を強制することによって AWS 環境の全体的なセキュリティを強化します。パスワードポリシーを作成または変更すると、変更は新しいユーザーに対してただちに適用されますが、既存のユーザーに対してパスワードの変更は強制されません。
- チェック ID
-
Yw2K9puPzl
- アラート条件
-
-
緑: パスワードポリシーが有効で、推奨コンテンツ要件が有効になっています。
-
黄: パスワードポリシーは有効になっていますが、少なくとも 1 つのコンテンツ要件が有効になっていません。
-
- [Recommended Action] (推奨されるアクション)
-
一部のコンテンツ要件が有効になっていない場合は、有効にすることを検討してください。パスワードポリシーが有効になっていない場合は、パスワードポリシーを作成して設定します。「IAM ユーザー用のアカウントパスワードポリシーの設定」を参照してください。
にアクセスするには AWS Management Console、IAM ユーザーにパスワードが必要です。ベストプラクティスとして、 では、IAM ユーザーを作成する代わりにフェデレーションを使用することを AWS 強くお勧めします。フェデレーションでは、ユーザーは既存の企業認証情報を使用して、 AWS Management Consoleにログインできます。IAM Identity Center を使用してユーザーを作成またはフェデレーションし、アカウントに IAM ロールを引き受けます。
ID プロバイダーとフェデレーションの詳細については、IAM ユーザーガイドの「ID プロバイダーとフェデレーション」を参照してください。IAM Identity Center の詳細については、IAM Identity Center ユーザーガイドを参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
パスワードポリシー
-
大文字
-
小文字
-
数値
-
英数字以外
-
IAM SAML 2.0 ID プロバイダー
- 説明
-
AWS アカウント が SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されているかどうかを確認します。ID を一元化し、外部 ID プロバイダーまたは でユーザーを設定するときは、ベストプラクティスに従ってくださいAWS IAM Identity Center
。 - チェック ID
-
c2vlfg0p86
- アラート条件
-
-
黄: このアカウントは、SAML 2.0 をサポートする ID プロバイダー (IdP) を介したアクセス用に設定されていません。
-
緑: このアカウントは、SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されています。
-
- [Recommended Action] (推奨されるアクション)
-
の IAM アイデンティティセンターをアクティブ化します AWS アカウント。詳細については、「IAM アイデンティティセンターのEnablingIAM」を参照してください。IAM Identity Center を有効にすると、アクセス許可セットの作成や Identity Center グループへのアクセスの割り当てなどの一般的なタスクを実行できます。詳細については、「一般的なタスク」を参照してください。
IAM Identity Center で人間のユーザーを管理するのがベストプラクティスです。ただし、小規模デプロイでは、短期的に人間のユーザーに対して IAM によるフェデレーティッドユーザーアクセスをアクティブ化できます。詳細については、「SAML 2.0 フェデレーション」を参照してください。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
AWS アカウント ID
-
最終更新日時
-
ルートアカウントの MFA
- 説明
-
アカウントのルートユーザーの認証情報を確認し、多要素認証 (MFA) が有効になっていない場合に警告します。
セキュリティを強化するために、MFA を使用してアカウントを保護することをお勧めします。MFA では、 AWS Management Console および関連するウェブサイトを操作するときに、ユーザーが MFA ハードウェアまたは仮想デバイスから一意の認証コードを入力する必要があります。
注記
AWS Organizations 管理アカウントでは、 にアクセスするときにルートユーザーの多要素認証 (MFA) AWS が必要です AWS Management Console。
AWS Organizations メンバーアカウントでは、 を使用してルート認証情報を一元管理することをお勧めします AWS Identity and Access Management。メンバーアカウントのルートユーザー認証情報は一元的に削除できるため、ルートユーザー認証情報で MFA を管理する必要がなくなります。詳細については、「 AWS Organizations ユーザーガイド」の「メンバーアカウントのベストプラクティス」を参照してください。
- チェック ID
-
7DAFEmoDos
- アラート基準
-
赤: MFA がルートアカウントで有効になっていません。
-
緑: ルートユーザー認証情報 (ルートパスワード) が存在しないか、アカウントに対して MFA が有効になっています。
- 推奨されるアクション
-
これがメンバーアカウントである場合 AWS Organizations: 管理アカウントにログインし、IAM でルートアクセス管理機能を有効にして、このメンバーアカウントからルートユーザーの認証情報を削除します。「メンバーアカウントのルートアクセスを一元化する」を参照してください。
これがスタンドアロンアカウントまたは 管理アカウントである場合 AWS Organizations: ルートアカウントにログインし、MFA デバイスをアクティブ化します。詳細については、「IAM での MFA ステータスの確認」と「多要素認証」を参照してください。 AWS
- 追加リソース
ルートユーザーアクセスキー
- 説明
-
ルートユーザーアクセスキーが存在するかどうかを確認します。ルートユーザーのアクセスキーペアを作成しないことを強くお勧めします。ルートユーザーが必要なタスクはごくわずかであり、通常、これらのタスクは頻繁に実行されないため、 にログイン AWS Management Console してルートユーザータスクを実行するのがベストプラクティスです。アクセスキーを作成する前に、長期的なアクセスキーに代わる方法を確認してください。
- チェック ID
-
c2vlfg0f4h
- アラート条件
-
赤: ルートユーザーアクセスキーが存在する
緑: ルートユーザーアクセスキーがありません
- [Recommended Action] (推奨されるアクション)
-
ルートユーザーのアクセスキー (複数可) を削除します。「ルートユーザーのアクセスキーの削除」を参照してください。このタスクは、ルートユーザーが実行する必要があります。IAM ユーザーまたはロールとしてこれらの手順を実行することはできません。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
アカウント ID
-
最終更新日時
-
セキュリティグループ — 開かれたポート
- 説明
-
セキュリティグループで特定のポートへの無制限アクセス (0.0.0.0/0) を許可するルールを確認します。
無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。リスクが最も高いポートには赤色のフラグが付けられ、リスクが低いポートには黄色のフラグが付けられます。緑色のフラグが付いたポートは、通常、HTTP や SMTP など、無制限のアクセスを必要とするアプリケーションで使用されます。
この方法でセキュリティグループを意図的に設定した場合は、追加のセキュリティ対策を使用してインフラストラクチャ (IP テーブルなど) を保護することをお勧めします。
注記
このチェックでは、作成したセキュリティグループと IPv4 アドレスのインバウンドルールのみが評価されます。によって AWS Directory Service 作成されたセキュリティグループには赤または黄色のフラグが付けられますが、セキュリティリスクは発生せず、除外できます。詳細については、「Trusted Advisor FAQ
」を参照してください。 - チェック ID
-
HCP4007jGY
- アラート条件
-
-
緑: セキュリティグループは、ポート 80、25、443、または 465 で無制限のアクセスを提供します。
-
赤: セキュリティグループはリソースにアタッチされ、ポート 20、21、22、1433、1434、3306、3389、4333、5432、または 5500 への無制限のアクセスを提供します。
-
黄: セキュリティグループは、他のポートへの無制限アクセスを提供します。
-
黄: セキュリティグループはどのリソースにもアタッチされず、無制限のアクセスを提供します。
-
- [Recommended Action] (推奨されるアクション)
-
アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。
未使用のセキュリティグループを確認して削除します。を使用して AWS Firewall Manager 、 全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については AWS アカウント、 AWS Firewall Manager ドキュメントを参照してください。
EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。セッションマネージャーを使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
セキュリティグループ名
-
セキュリティグループ ID
-
プロトコル
-
送信元ポート
-
送信先ポート
-
関連付け
-
セキュリティグループ — 無制限アクセス
- 説明
-
セキュリティグループでリソースへの無制限アクセスを許可するルールをチェックします。
無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。
注記
このチェックでは、作成したセキュリティグループと IPv4 アドレスのインバウンドルールのみが評価されます。によって作成されたセキュリティグループ AWS Directory Service には赤または黄色のフラグが付けられますが、セキュリティリスクは発生せず、除外できます。詳細については、「Trusted Advisor FAQ
」を参照してください。 - チェック ID
-
1iG5NDGVre
- アラート条件
-
-
緑: セキュリティグループルールには、ポート 25、80、または 443 のサフィックスが /0 のソース IP アドレスがあります。
-
黄: セキュリティグループルールには、25、80、または 443 以外のポートのサフィックスが /0 のソース IP アドレスがあり、セキュリティグループはリソースにアタッチされています。
-
赤: セキュリティグループルールには、25、80、または 443 以外のポートのサフィックスが /0 のソース IP アドレスがあり、セキュリティグループはリソースにアタッチされません。
-
- [Recommended Action] (推奨されるアクション)
-
アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。
未使用のセキュリティグループを確認して削除します。を使用して AWS Firewall Manager 、 全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については AWS アカウント、 AWS Firewall Manager ドキュメントを参照してください。
EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。セッションマネージャーを使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。
- その他のリソース
- [Report columns] (レポート列)
-
-
ステータス
-
リージョン
-
セキュリティグループ名
-
セキュリティグループ ID
-
プロトコル
-
送信元ポート
-
送信先ポート
-
IP 範囲
-
関連付け
-