すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:指定された範囲のイメージにインスタンス作成を制限する

    ドキュメントセンター

    Elastic Compute Service:指定された範囲のイメージにインスタンス作成を制限する

    最終更新日:Nov 02, 2025

    インスタンスの作成を指定された範囲のイメージに制限することで、攻撃対象領域を減らすことができます。このプラクティスは、不正またはリスクの高いイメージから生じるセキュリティ問題を防止し、一貫性のあるコンプライアンスに準拠したコンピューティング環境を保証します。

    セキュリティリスク

    すべてのユーザーまたはアカウントに任意のイメージの使用を許可すると、以下のセキュリティリスクにつながる可能性があります:

    • 悪意のあるイメージ: 不明なソースからのパブリックイメージには、マルウェア、マイニングプログラム、またはバックドアが含まれている可能性があります。これらのイメージを使用すると、攻撃者が Elastic Compute Service (ECS) インスタンスをコントロールできるようになる可能性があります。

    • 脆弱なイメージ: 継続的にメンテナンスされていない社内イメージは、攻撃ベクターになる可能性があります。これらの古いイメージやパッチが適用されていないイメージには、Log4j や Heartbleed などの未修正のシステムまたはソフトウェアの脆弱性が含まれている可能性があります。

    • 不適切に構成されたイメージ: イメージには、不要なオープンポートや弱いパスワードなど、作成プロセスからの安全でない構成が含まれている可能性があります。

    ベストプラクティス

    「ゴールデンイメージ」を作成して使用できます。ゴールデンイメージは、セキュリティおよび運用保守 (O&M) チームによって維持される、標準化され、強化され、定期的に更新されるベースラインイメージです。Alibaba Cloud 環境では、タグを使用してゴールデンイメージをマークし、管理できます。たとえば、承認されたすべてのイメージに status: approvedsecurity-level: trusted などのタグを追加できます。

    コンソール

    1. イメージリストで、タグフィルター機能を使用して特定のタグを持つイメージを検索します。

    2. 指定されたタグを持つイメージを使用してインスタンスを作成します。

    API

    1. DescribeImages 操作を呼び出し、Tag.Key および Tag.Value パラメーターを使用して、特定のタグを持つイメージの ImageId をクエリします。

    2. インスタンスを作成するために RunInstances または CreateInstance 操作を呼び出すときに、ImageId パラメーターを指定します。

    コンプライアンス

    ブロック: インスタンス作成などの操作を、指定されたタグを持つイメージに制限する

    組織またはアカウントレベルで Resource Access Management (RAM) ポリシーを使用して、指定されたタグを持たないイメージでインスタンスを作成しようとする試みをブロックできます。

    • エンタープライズユーザーの場合:

      1. Alibaba Cloud アカウントで リソースディレクトリコンソールにログインします。左側のメニューバーで、[コントロールポリシー] をクリックします。次に、カスタムポリシーを作成し、次の JSON コンテンツを貼り付けます。

        このポリシーでは、インスタンスの作成またはシステムディスクの置き換えに使用されるイメージに、タグ "environment": "production" が必要です。

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateInstance",
        "ecs:RunInstances",
        "ecs:ReplaceSystemDisk"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "acs:ResourceTag/environment": "production"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "ecs:DeleteTags",
        "ecs:UntagResources",
        "ecs:CreateTags",
        "ecs:TagResources"
      ],
      "Resource": "acs:ecs:*:*:image/*"
    }
  ]
}

      2. リソースディレクトリで、適切なノードを選択し、ポリシーをアタッチします。ポリシーは、そのノード配下のすべてのアカウントに対して指定された操作をブロックします。

    • 非エンタープライズユーザーの場合:

      1. Alibaba Cloud アカウントで RAM コンソールにログインします。左側のメニューバーで、[ポリシー] をクリックします。次に、エンタープライズユーザー向けのポリシーと同じ内容のカスタムポリシーを作成します。

      2. ポリシーを RAM ユーザー、RAM ユーザーグループ、または RAM ロールにアタッチします。詳細については、「ポリシーベースの権限付与の管理」をご参照ください。

    修正: インスタンスが指定されたタグ付きイメージで作成されるようにする

    ECS インスタンスに関連付けられているイメージに手動でタグを追加できます。また、タグ要件を満たさないイメージに関連付けられている ECS インスタンスをクリーンアップまたは置き換えることもできます。