【Security Hub修復手順】 [EC2.1] Amazon EBS スナップショットはパブリックに復元可能であってはなりません。

こんにちは！AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[EC2.1] Amazon EBS スナップショットはパブリックに復元可能であってはなりません。

[EC2.1] EBS snapshots should not be publicly restorable

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、Amazon Elastic Block Store スナップショットがパブリックではないかどうかをチェックします。
Amazon EBS スナップショットを誰でも復元できる場合、コントロールは失敗します。

EBSスナップショットがパブリックへ共有されると、第三者によりそのボリュームが復元される可能性があります。ボリューム復元による意図しないデータ流出を避けるためにも、可能な限り対応しましょう。

修正手順

この問題を修正するためには、EBSスナップショットを更新し、アクセス権限をパブリックではなくプライベートに変更します。

1. ステークホルダーに確認

1. まずはステークホルダーに以下を確認します。

• 対象のスナップショットを他のAWSアカウントと共有する必要があるかどうか。
  • 必要ありの場合、[2.設定変更]の際に共有を許可するAWSアカウントを設定できます。 そのため、共有を許可するAWSアカウントのIDを特定して下さい。
  • 必要なしの場合、[2.設定変更]の際にAWSアカウントの設定は不要です。

2. 設定変更

1. AWS マネージメントコンソールを開きます。
2. ヘッダーナビゲーションのサービス検索より「EC2」を検索し、選択します。 ※リージョンは「東京」を選択します。他リージョンも使用している際は確認して下さい。

3. ナビゲーションペインで Elastic Block Store の [スナップショット] メニューを選択します。

4. パブリックになっているスナップショットを選択します。

5. [アクション]から、[アクセス権限を変更] を選択します。

6. スナップショットをプライベートにします。
   （他のAWSアカウントと共有しない場合）
   1. [プライベート]を選択し、[変更を保存]を選択します。

   （他のAWSアカウントと共有する場合）
   1. [プライベート]を選択し、[アカウントを追加]を選択します。
   2. 共有するAWSアカウントIDを入力し、[追加]を選択します。
   3. 追加したアカウントIDを選択し、[変更を保存]を選択します。

7. スナップショットがプライベートになっていることを確認します。 他のAWSアカウントと共有した場合はアカウントIDが追加されています。

8. （他のAWSアカウントと共有した場合のみ実施）共有した先のアカウントで同様のスナップショットが作成されていることを確認します。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！
どなたかのお役に立てれば幸いです。

以上、おつまみ（＠AWS11077）でした！