BestPracticesForECS コンプライアンスパッケージは、サービス中断およびコスト超過のリスクを回避するために、ECS インスタンスのステータス、セキュリティ設定、保護設定、およびスナップショット設定のコンプライアンスをチェックします。このトピックでは、BestPracticesForECS コンプライアンスパッケージで提供されるルールについて説明します。
ルール名 | 説明 |
各 ECS インスタンスが停止状態かどうかをチェックします。停止状態でない場合、評価結果は「準拠」です。 | |
各サブスクリプションリソースの有効期限とチェック日時の差が指定日数より大きいかどうかをチェックします。そうである場合、評価結果は「準拠」です。デフォルト値:30。サブスクリプションリソースを使用している場合は、有効期限が切れる前にリソースを更新する必要があります。これにより、リソースの有効期限切れによってインスタンスが停止されるのを防ぎます。インスタンスで自動更新が有効になっている場合、評価結果も「準拠」です。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各 ECS インスタンスでリリース保護機能が有効になっているかどうかをチェックします。有効になっている場合、評価結果は「準拠」です。 | |
vpcIds パラメーターを設定していない場合、各 ECS インスタンスのネットワークタイプが VPC に設定されているかどうかをチェックします。設定されている場合、評価結果は「準拠」です。 vpcIds パラメーターを設定している場合、各 ECS インスタンスが存在する VPC が指定された VPC と同じかどうかをチェックします。同じである場合、評価結果も「準拠」です。 | |
各 ECS インスタンスでディスクの暗号化が有効になっているかどうかをチェックします。有効になっている場合、評価結果は「準拠」です。 | |
各 ECS データディスクが ECS インスタンスにアタッチされているかどうかをチェックします。アタッチされている場合、評価結果は「準拠」です。 | |
各セキュリティグループのインバウンド権限付与ポリシーが「許可」に設定され、ポート範囲が -1/-1 に設定されているか、または承認済み IP アドレスが 0.0.0.0/0 に設定されているか、あるいは優先順位の高い権限付与ポリシーが設定されているかどうかをチェックします。そうである場合、評価結果は「準拠」です。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」です。 | |
各 ECS インスタンスが指定されたセキュリティグループに追加されているかどうかをチェックします。追加されている場合、評価結果は「準拠」です。 | |
各 ECS インスタンスのシステムイメージが指定されたパラメーター範囲内にあるかどうかをチェックします。範囲内にある場合、評価結果は「準拠」です。 | |
各 ECS インスタンスでセキュリティセンターによって識別された脆弱性が修正されているかどうかをチェックします。修正されている場合、評価結果は「準拠」です。 | |
現在のアカウントに属する各 ECS インスタンスにセキュリティセンターエージェントがインストールされているかどうかをチェックします。インストールされている場合、評価結果は「準拠」です。 | |
支払い遅延やセキュリティリスクなどの問題により、ECS インスタンスがロックされていないかどうかをチェックします。ロックされていない場合、評価結果は「準拠」です。 | |
各スケーリンググループの ECS インスタンスでヘルスチェック機能が有効になっているかどうかをチェックします。有効になっている場合、評価結果は「準拠」です。 | |
各 ECS ディスクに自動スナップショットポリシーが指定されているかどうかをチェックします。指定されている場合、評価結果は「準拠」です。 | |
支払い遅延やセキュリティリスクなどの問題により、ECS ディスクがロックされていないかどうかをチェックします。ロックされていない場合、評価結果は「準拠」です。 | |
ディスクがリリースされたときに、各 ECS ディスクの自動スナップショットが保持されるかどうかをチェックします。保持される場合、評価結果は「準拠」です。 | |
ECS インスタンスの自動スナップショットが指定日数以上保持されるかどうかをチェックします。保持される場合、評価結果は「準拠」です。デフォルト値:7。 | |
各セキュリティグループの IP アドレスホワイトリストに 0.0.0.0/0 が追加され、高リスクポートが無効になっているかどうかをチェックします。そうである場合、評価結果は「準拠」です。セキュリティグループの IP アドレスホワイトリストに 0.0.0.0/0 が追加されていない場合、高リスクポートが無効になっているかどうかに関係なく、評価結果は「準拠」です。優先順位の高い権限付与ポリシーによって高リスクポートが拒否されている場合、評価結果は「準拠」です。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」です。 |