この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは!AWS事業本部の森田です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[Auto Scaling.9] EC2 Auto Scaling グループは EC2 起動テンプレートを使用する必要があります
[AutoScaling.9] EC2 Auto Scaling groups should use EC2 launch templates
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
コントロールの説明
このコントロールは、Amazon EC2 Auto Scaling グループが、EC2 起動テンプレートから作成されたものかどうかを確認します。 Amazon EC2 Auto Scaling グループが起動テンプレートを使用して作成されていない場合、または混合インスタンスポリシーで起動テンプレートが指定されていない場合、このコントロールは失敗します。
EC2 Auto Scaling グループは、EC2 起動テンプレートまたは起動設定のいずれかから作成できます。ただし、起動テンプレートを使用して Auto Scaling グループを作成することで、最新の機能や改善点に確実にアクセスできます。
AWSドキュメントからも確認できるように、本コントロールは、起動設定を使用して Auto Scaling グループを作成した場合に発生します。
起動設定を利用してしまうと、最新の機能を利用することができません。
一方で、起動テンプレートを利用した場合は、最新の機能を利用することができるため、起動設定から起動テンプレートへの置き換えが求められます。
(起動設定・起動テンプレートの違いについては以下の記事をご参考ください。)
修復手順
1 ステークホルダーに確認
まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- 起動設定を指定するAuto Scaling グループが他に存在するかを確認する
- 存在する場合
- 3の作業を各Auto Scaling グループで実施する
- 存在する場合
- 起動設定を指定する CloudFormation が存在するかを確認する
- 存在する場合
- 起動テンプレートを利用するようにCloudFormationテンプレートを修正する
- 存在する場合
2 起動設定から起動テンプレートを作成
.AWS マネージメントコンソールのEC2を開きます。
EC2 ダッシュボードから AutoScaling内の「起動設定」を開きます。
「起動テンプレートへのコピー」→「すべてコピー」を選択します。
「コピー」を選択します。表示されている起動設定が起動テンプレートへコピーされます。
しばらくすると、以下のように「100%」になれば、コピーは完了となります。
実際に「起動テンプレート」を開いてみると、コピーされた起動テンプレートを確認することができます。
3 既存のAuto Scalingグループを「起動テンプレート」を利用するように変更する
続いて既存のAuto Scalingグループで起動設定を利用しているものを「起動テンプレート」を利用するように変更します。
Auto Scaling グループを開き、バージョンの記載がないものが起動設定を利用しているものとなります。
起動設定を利用しているAuto Scalingグループの名前を選択します。
「詳細」→起動設定「編集」の順に選択します。
「起動テンプレートに切り替える」を選択します。
起動テンプレートを選択し、ページ下部の「更新」を押下します。
すると、以下のように、バージョンが表示され、起動テンプレートに切り替わっていることが確認できます。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
0
