Lambda のセキュリティグループも Config ルール “ec2-security-group-attached-to-eni” の評価対象になるのか教えてください

2022.09.26

困っていた内容

Config ルール "ec2-security-group-attached-to-eni" を利用して、どのリソースにもアタッチされていないセキュリティグループを検出したいです。
VPC を有効化した Lambda を使用しているのですが、当該 Config ルールでは lambda にアタッチされたセキュリティグループも評価の対象となるのでしょうか。

どう対応すればいいの?

結論から述べると、lambda にアタッチされたセキュリティグループも評価の対象となります。
Config ルール "ec2-security-group-attached-to-eni" は、セキュリティグループが ENI にアタッチされているかどうかを確認するルールです。

ec2-security-group-attached-to-eni-periodic - AWS Config

デフォルトではないセキュリティグループが Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。

VPC が有効化された Lambda も ENI が利用されているため、評価の対象となります。
他にも、ELB,EFS,RDS など、ENI が作成されるリソースは評価の対象となります。

なお、"ec2-security-group-attached-to-eni" は廃止予定の Config ルールです。
そのため、今後は代わりに Config ルール "ec2-security-group-attached-to-eni-periodic" を使用してください。

参考資料

ec2-security-group-attached-to-eni-periodic - AWS Config
ec2-security-group-attached-to-eni - AWS Config
「このセキュリティグループ使ってるんだっけ…?」に即座に答える AWS Config ルールのご紹介 | DevelopersIO