この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
困っていた内容
Config ルール "ec2-security-group-attached-to-eni" を利用して、どのリソースにもアタッチされていないセキュリティグループを検出したいです。
VPC を有効化した Lambda を使用しているのですが、当該 Config ルールでは lambda にアタッチされたセキュリティグループも評価の対象となるのでしょうか。
どう対応すればいいの?
結論から述べると、lambda にアタッチされたセキュリティグループも評価の対象となります。
Config ルール "ec2-security-group-attached-to-eni" は、セキュリティグループが ENI にアタッチされているかどうかを確認するルールです。
ec2-security-group-attached-to-eni-periodic - AWS Config
デフォルトではないセキュリティグループが Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。
VPC が有効化された Lambda も ENI が利用されているため、評価の対象となります。
他にも、ELB,EFS,RDS など、ENI が作成されるリソースは評価の対象となります。
なお、"ec2-security-group-attached-to-eni" は廃止予定の Config ルールです。
そのため、今後は代わりに Config ルール "ec2-security-group-attached-to-eni-periodic" を使用してください。
参考資料
ec2-security-group-attached-to-eni-periodic - AWS Config
ec2-security-group-attached-to-eni - AWS Config
「このセキュリティグループ使ってるんだっけ…?」に即座に答える AWS Config ルールのご紹介 | DevelopersIO