insightwatchでNGリソースをチェック対象から外す事が出来るようになりました。

2019.09.26

こんにちは。insightwatchチームの芳賀健です。

いつもinsightwatchをご利用いただき、まことにありがとうございます!
insightwatchのアップデートでリリースされた機能をお知らせいたします。

チェック結果から指定したリソースを除外することが可能になりました。

いままでチェック項目単位でチェック処理を除外することはできました。
v2.18.0のリリースで、チェック結果から指定したリソースをチェック処理から除外することが可能になりました。

この機能を利用することで、チェック処理自体は実施したいが、とあるリソースだけはリスクを受容するため、チェック対象から外したいという対応が可能になります。
例えば、IAMユーザーへAdministratorAccess権限を付与した場合、CISベンチマーク1.22にてNGと判定されます。この特権ユーザーのみチェック対象から外し、他に権限を付与されたユーザーやロールが存在しないかチェックがおこなえます。

除外設定の方法について

  1. メニューより「項目設定」をクリックします。

  2. 対象となる組織、プロジェクト、AWSアカウントを選択します。

  3. 除外したいリソースがあるチェック項目で リソース除外 の編集アイコンをクリックします。

  4. 「リソース除外設定」ダイアログに現在、NGと判定されているリソースの一覧が表示されます。

  5. NGリソースの一覧からチェック対象から外したいリソースを選択し、除外設定をクリックします。ここでは複数選択可能です。

  6. 選択したリソースに間違いない事を確認し、必要に応じてコメントを入力して登録するをクリックし、登録してください。

  7. 完了ダイアログが表示され、次回、チェック実行した際に選択したリソースがチェック対象から除外されます。

  8. 除外しチェックを実行すると、NGとして判定されていたリソースがチェック対象外となります。
    ・除外前のチェック結果詳細

・除外後のチェック結果詳細

除外の解除について

  1. リソース除外が設定されていると項目設定に除外ありと表示されます。
  2. 除外設定を解除したいチェック項目でリソース除外の編集アイコンをクリックします。

  3. NGリソースの一覧から除外を解除したいリソースを選択し、除外解除をクリックします。

  4. 選択したリソースに間違いない事を確認し、解除してください。

  5. 完了ダイアログが表示され、次回、チェック実行からリソースがチェック対象に戻ります。

設定の有効期限について

定期的な確認を促す目的により設定から180日経過した後、チェックを実行すると除外設定が解除され、再びチェック対象となります。改めて現状を確認し除外設定してください。

チェック項目の除外設定との関係

チェック項目の除外設定が優先され、リソース除外設定は効きません。
そのため、リソース除外設定を使う場合には、チェック項目の除外設定を解除してください。

さいごに

insightwatchは、AWSを利用される方の環境がセキュアに保たれる事の一助になればと考え、開発を続けています。 まだ、お使いではない方には、より魅力的な機能を開発し、ご活用いただけている方には利便性がある機能をリリースしていきたいと思います。

insightwatch でセキュリティチェックを始める

今後ともどうぞよろしくお願いいたします。