翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セキュリティ
セキュリティカテゴリの次のチェックを使用できます。
**注記**
で Security Hub CSPM を有効にした場合は AWS アカウント、 Trusted Advisor コンソールで検出結果を表示できます。詳細については、「[での AWS Security Hub CSPM コントロールの表示 AWS Trusted Advisor](security-hub-controls-with-trusted-advisor.md)」を参照してください。
**「カテゴリ: 復旧 > 回復力**」を持つコントロール*を除き*、 AWS 基本的なセキュリティのベストプラクティスのセキュリティ標準ですべてのコントロールを表示できます。サポートされるコントロールのリストについては、*AWS Security Hub CSPM ユーザーガイド*の[「AWS Foundational Security Best Practices controls」](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)を参照してください。
**Contents**
+ [
## Application Load Balancer のセキュリティグループ
](#alb-security-group)
+ [
## Amazon CloudWatch ロググループの保持期間
](#cloudwatch-log-group-retention-less-than-365)
+ [
## Microsoft SQL Server を使用した Amazon EC2 インスタンスのサポートの終了
](#ec2-instances-with-sql-server-end-of-support)
+ [
## Microsoft Windows Server を使用した Amazon EC2 インスタンスのサポートの終了
](#ec2-instances-with-windows-server-end-of-support)
+ [
## Ubuntu LTS を使用した Amazon EC2 インスタンスの標準サポートの終了
](#amazon-ec2-instances-ubuntu-lts-end-of-standard-support)
+ [
## 転送中のデータの暗号化を使用しない Amazon EFS クライアント
](#amazon-efs-clients-not-using-data-in-transit-encryption)
+ [
## Amazon EBS パブリックスナップショット
](#amazon-ebs-public-snapshots)
+ [
## Amazon RDS Aurora ストレージの暗号化は無効になっています
](#amazon-rds-aurora-storage-encryption-off)
+ [
## Amazon RDS エンジンのマイナーバージョンアップグレードが必須です。
](#amazon-rds-engine-minor-version-upgrade-required)
+ [
## Amazon RDS パブリックスナップショット
](#amazon-rds-public-snapshots)
+ [
## Amazon RDS セキュリティグループのアクセスリスク
](#amazon-rds-security-group-access-risk)
+ [
## Amazon RDS ストレージの暗号化は無効になっています。
](#amazon-rds-storage-encryption-off)
+ [
## S3 バケットを直接指定する Amazon Route 53 の CNAME レコードの不一致
](#amazon-route-53-mismatching-cname-records-s3-buckets)
+ [
## Amazon Route 53 MX リソースレコードセットと Sender Policy Framework
](#amazon-route-53-mx-resorc-resource-record-sets-sender-policy-framework)
+ [
## Amazon S3 バケット許可
](#amazon-s3-bucket-permissions)
+ [
## DNS 解決が無効になっている Amazon VPC ピアリング接続
](#amazon-vpc-peering-connections-no-dns-resolution)
+ [
## Application Load Balancer ターゲットグループの暗号化プロトコル
](#application-load-balancer-target-groups)
+ [
## AWS Backup 復旧ポイントの削除を防ぐためのリソースベースのポリシーがないボールト
](#backup-vault-without-resource-based-policy-prevent-delete)
+ [
## AWS CloudTrail 管理イベントのログ記録
](#aws-cloudtrail-man-events-log)
+ [
## AWS Lambda 非推奨ランタイムを使用する関数
](#aws-lambda-functions-deprecated-runtimes)
+ [
## セキュリティに関する AWS Well-Architected のリスクの高い問題
](#well-architected-high-risk-issues-security)
+ [
## IAM 証明書ストアの CloudFront 独自 SSL 証明書
](#cloudfront-custom-ssl-certificates-iam-certificate-store)
+ [
## オリジンサーバーの CloudFront 独自 SSL 証明書
](#cloudfront-ssl-certificate-origin-server)
+ [
## ELB リスナーのセキュリティ
](#elb-listener-security)
+ [
## Classic Load Balancer のセキュリティグループ
](#elb-security-groups)
+ [
## 露出したアクセスキー
](#exposed-access-keys)
+ [
## IAM アクセスキーローテーション
](#iam-access-key-rotation)
+ [
## IAM Access Analyzer の外部アクセス
](#iam-access-analyzer-external-access)
+ [
## IAM パスワードポリシー
](#iam-password-policy)
+ [
## IAM SAML 2.0 ID プロバイダー
](#iam-saml-identity-provider)
+ [
## ルートアカウントの MFA
](#mfa-root-account)
+ [
## ルートユーザーのアクセスキー
](#root-user-access-key)
+ [
## セキュリティグループ — 開かれたポート
](#security-groups-specific-ports-unrestricted)
+ [
## セキュリティグループ — 無制限アクセス
](#security-groups-unrestricted-access)
## Application Load Balancer のセキュリティグループ
**説明**
Application Load Balancer とその Amazon EC2 ターゲットにアタッチされているセキュリティグループをチェックします。Application Load Balancer のセキュリティグループは、リスナーで設定されたインバウンドポートのみを許可する必要があります。ターゲットのセキュリティグループでは、ターゲットがロードバランサーからトラフィックを受信するのと同じポートでインターネットからの直接接続を受け入れないでください。
ロードバランサー用に設定されていないポートへのアクセス、またはターゲットへの直接アクセスがセキュリティグループで許可されている場合、データの損失や悪意のある攻撃のリスクが高くなります。
このチェックでは、次のグループは除外されます。
+ IP アドレスまたは EC2 インスタンスに関連付けられていないターゲットグループ。
+ IPv6 トラフィックのセキュリティグループルール
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`8604e947f2`
**アラート条件**
+ 赤: ターゲットにはパブリック IP と、ターゲットコントロールポートのインバウンド接続をどこからでも許可するセキュリティグループがあります (0.0.0.0/0)。
+ 赤: ターゲットにはパブリック IP が割り当てられ、トラフィックポートであらゆる場所 (0.0.0.0/0) からのインバウンド接続を許可するセキュリティグループがあります。
+ 赤: Application Load Balancer で認証が有効になっており、ターゲットはトラフィックポートであらゆる場所 (0.0.0.0/0) からのインバウンド接続を許可しています。
+ 黄: ターゲットのセキュリティグループは、トラフィックポートであらゆる場所 (0.0.0.0/0) からのインバウンド接続を許可しています。
+ 黄: ターゲットのセキュリティグループは、どこからでもターゲットコントロールポートへのインバウンド接続を許可します (0.0.0.0/0)。
+ 黄: Application Load Balancer のセキュリティグループは、対応するリスナーを持たないポートでのインバウンド接続を許可します。
+ 黄: ターゲットのセキュリティグループは、Application Load Balancer にアタッチされていないセキュリティグループからのターゲットコントロールポートでのインバウンド接続を許可します。
+ 緑: Application Load Balancer セキュリティグループは、リスナーと一致するポートでのインバウンド接続のみを許可します。
**[Recommended Action] (推奨されるアクション)**
セキュリティを向上させるには、セキュリティグループで必要なトラフィックフローのみを許可していることを確認してください。
+ Application Load Balancer のセキュリティグループは、リスナーで設定されているのと同じポートでのみインバウンド接続を許可する必要があります。
+ ロードバランサーとターゲットには排他的なセキュリティグループを使用します。
+ ターゲットのセキュリティグループでは、関連付けられたロードバランサー (複数可) からの接続のみをトラフィックポートで許可する必要があります。
+ ターゲットセキュリティグループは、関連付けられているロードバランサー (複数可) からのみ、ターゲットコントロールポートの接続を許可する必要があります。
**その他のリソース**
+ [セキュリティグループを使用して AWS リソースへのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Application Load Balancer のセキュリティグループ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ 対象グループ
+ ALB 名
+ ALB SG ID
+ ターゲット SG ID
+ 認証有効
+ 最終更新日時
## Amazon CloudWatch ロググループの保持期間
**説明**
Amazon CloudWatch ロググループの保持期間が 365 日または特定の日数に設定されているかどうかを確認します。
デフォルトでは、ログは無制限に保持され、失効しません。ただし、業界の規制や特定の期間の法的要件に準拠するように、ロググループごとに保持ポリシーを調整することができます。
AWS Config ルールの **LogGroupNames** と **MinRetentionTime** パラメータを使用して、最小保持期間とロググループ名を指定できます。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`c18d2gz186`
**ソース**
`AWS Config Managed Rule: cw-loggroup-retention-period-check`
**アラート条件**
黄: Amazon CloudWatch ロググループの保持期間が希望する最小日数を下回っています。
**[Recommended Action] (推奨されるアクション)**
Amazon CloudWatch Logs に保存されているログデータには、コンプライアンス要件を満たすために 365 日を超える保存期間を設定します。
詳細については、「[CloudWatch Logs でのログデータ保管期間の変更](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)」を参照してください。
**その他のリソース**
[CloudWatch のログ保持期間の変更](https://docs.aws.amazon.com/managedservices/latest/userguide/log-customize-retention.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ [リソース]
+ AWS Config ルール
+ 入力パラメータ
+ 最終更新日時
## Microsoft SQL Server を使用した Amazon EC2 インスタンスのサポートの終了
**説明**
直近 24 時間以内に実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの SQL Server バージョンをチェックします。このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、または終了している場合に警告を受け取ります。SQL Server の各バージョンでは、5 年間のメインストリームサポートと 5 年間の延長サポートを含む 10 年間のサポートが提供されます。サポートの終了後には、SQL Server バージョンは定期的なセキュリティ更新を受け取らなくなります。サポートされていないバージョンの SQL Server でアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが生じる可能性があります。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`Qsdfp3A4L3`
**アラート条件**
+ 赤: EC2 インスタンスには、サポートが終了した SQL Server バージョンがあります。
+ 黄: EC2 インスタンスには、12 か月以内にサポートが終了する SQL Server バージョンがあります。
**[Recommended Action] (推奨されるアクション)**
SQL Server のワークロードをモダナイズするには、Amazon Aurora などの AWS クラウド ネイティブデータベースへのリファクタリングを検討してください。詳細については、「 [を使用した Windows ワークロードのモダナイズ AWS](https://aws.amazon.com/windows/modernization/)」を参照してください。
フルマネージドデータベースに移行するには、Amazon Relational Database Service (Amazon RDS) への再プラットフォーム化を検討します。詳細については、「[Amazon RDS for SQL Server](https://aws.amazon.com/rds/sqlserver/)」を参照してください。
Amazon EC2 で SQL Server をアップグレードするには、オートメーションランブックを使用してアップグレードを簡素化することを検討してください。詳細については、[AWS Systems Manager のドキュメント](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awsec2-CloneInstanceAndUpgradeSQLServer.html)を参照してください。
Amazon EC2 で SQL Server をアップグレードできない場合は、Windows Server 向けサポート終了移行プログラム (EMP) を検討してください。詳細については、[EMP のウェブサイト](https://aws.amazon.com/emp-windows-server/)を参照してください。
**その他のリソース**
+ [で SQL Server のサポート終了に備える AWS](https://aws.amazon.com/sql/sql2008-eos/)
+ [AWSでの Microsoft SQL Server](https://aws.amazon.com/sql)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ [インスタンス ID]
+ SQL Server バージョン
+ サポートサイクル
+ サポートの終了
+ 最終更新日時
## Microsoft Windows Server を使用した Amazon EC2 インスタンスのサポートの終了
**説明**
このチェックでは、ご利用の Microsoft Windows Server のバージョンのサポートが終了に近づいているか、または終了している場合に警告が表示されます。Windows Server の各バージョンでは、5 年間のメインストリームサポートと 5 年間の延長サポートを含む 10 年間のサポートが提供されます。サポートの終了後には、Windows Server バージョンは定期的なセキュリティ更新を受け取らなくなります。サポートされていないバージョンの Windows Server でアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが生じる可能性があります。
このチェックは、EC2 インスタンスの起動に使用された AMI に基づいて結果を生成します。現在のインスタンスオペレーティングシステムが起動 AMI と異なる可能性があります。例えば、Windows Server 2016 AMI からインスタンスを起動し、その後 Windows Server 2019 にアップグレードした場合、起動 AMI は変更されません。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`Qsdfp3A4L4`
**アラート条件**
+ 赤: EC2 インスタンスが、サポートが終了している Windows Server バージョン (Windows Server 2003、2003 R2、2008、2008 R2) で実行されています。
+ 黄: EC2 インスタンスが、18 か月未満でサポートが終了する Windows Server バージョン (Windows Server 2012、2012 R2) で実行されています。
**推奨されるアクション**
Windows Server ワークロードをモダナイズするには、[Windows ワークロードをモダナイズで利用できるさまざまなオプションを検討してください AWS](https://aws.amazon.com/windows/modernization/)。
Windows Server ワークロードをアップグレードしてより新しいバージョンの Windows Server で実行するときは、自動化ランブックを使用できます。詳細については、[AWS Systems Manager のドキュメント](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/os-inplaceupgrade.html)を参照してください。
以下のステップを実行します。
+ Windows Server のバージョンのアップグレード
+ アップグレードの際のハードの停止と起動
+ EC2Config を使用している場合は、EC2Launch への移行
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ [インスタンス ID]
+ Windows Server バージョン
+ サポートサイクル
+ サポートの終了
+ 最終更新日時
## Ubuntu LTS を使用した Amazon EC2 インスタンスの標準サポートの終了
**説明**
このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、終了している場合に警告します。次の LTS に移行するか Ubuntu Pro にアップグレードすることで、対策を講じることが重要です。サポート終了後、18.04 LTS のマシンはセキュリティ更新を受信できなくなります。Ubuntu Pro サブスクリプションを利用すると、Ubuntu 18.04 LTS デプロイは 2028 年まで Expanded Security Maintenance (ESM) を受け取ることができます。パッチが適用されていないセキュリティの脆弱性により、システムがハッカーにさらされ、重大な侵害が発生する可能性があります。
このチェックの結果は、少なくとも 1 日 1 回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`c1dfprch15`
**アラート条件**
赤: Amazon EC2 インスタンスに、標準サポートが終了した Ubuntu バージョン (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.6 LTS)
黄色: Amazon EC2 インスタンスに、6 か月以内に標準サポートが終了する Ubuntu バージョン (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.5 LTS、20.04.6 LTS) が含まれています。
緑: すべての Amazon EC2 インスタンスが準拠しています。
**[Recommended Action] (推奨されるアクション)**
Ubuntu 18.04 LTS インスタンスをサポートされている LTS バージョンにアップグレードするには、[こちらの記事](https://ubuntu.com/server/docs/upgrade-introduction)に記載されている手順に従ってください。Ubuntu 18.04 LTS インスタンスを [Ubuntu Pro](https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-ubuntu-pro-subscription-model/) にアップグレードするには、 AWS License Manager コンソールにアクセスし、「[AWS License Manager ユーザーガイド](https://docs.aws.amazon.com/license-manager/latest/userguide/license-conversion.html)」に記載された手順に従ってください。Ubuntu インスタンスを Ubuntu Pro にアップグレードする手順を説明したデモをご覧いただける [Ubuntu ブログ](https://discourse.ubuntu.com/t/how-to-upgrade-ubuntu-lts-to-ubuntu-pro-on-aws-using-aws-license-manager/35449)も参照してください。
**その他のリソース**
料金については、[サポート](https://aws.amazon.com/support) にお問い合わせください。
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ Ubuntu LTS バージョン
+ サポートの終了予定日
+ [インスタンス ID]
+ サポートサイクル
+ 最終更新日時
## 転送中のデータの暗号化を使用しない Amazon EFS クライアント
**説明**
Amazon EFS ファイルシステムが転送中データの暗号化を使用してマウントされているかどうかを確認します。 AWS では、データを偶発的な公開や不正アクセスから保護するため、すべてのデータフローで転送中データの暗号化を使用することを推奨しています。Amazon EFS では、Amazon EFS マウントヘルパーを使用して「-o tls」によるマウント設定を使用し、TLS v1.2 を使用して転送中のデータを暗号化することを推奨しています。
**チェック ID**
` c1dfpnchv1`
**アラート条件**
黄色: Amazon EFS ファイルシステムの 1 つ以上の NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用していません。
緑: Amazon EFS ファイルシステムのすべての NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用しています。
**[Recommended Action] (推奨されるアクション)**
Amazon EFS で転送中のデータの暗号化機能を利用するには、Amazon EFS マウントヘルパーおよび推奨されるマウント設定を使用して、ファイルシステムを再マウントすることをお勧めします。
一部の Linux ディストリビューションには、TLS 機能をサポートする stunnel のバージョンがデフォルトで含まれていません。サポートされていない Linux ディストリビューションを使用している場合 (「*Amazon Elastic File System ユーザーガイド*」の「[Supported distributions](https://docs.aws.amazon.com/efs/latest/ug/using-amazon-efs-utils.html#efs-utils-supported-distros)」を参照)、推奨されるマウント設定で再マウントする前にアップグレードすることをお勧めします。
**その他のリソース**
+ [Encrypting data in transit](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ EFS ファイルシステム ID
+ 接続が暗号化されていない AZ
+ 最終更新日時
## Amazon EBS パブリックスナップショット
**説明**
Amazon Elastic Block Store (Amazon EBS) ボリュームスナップショットのアクセス許可設定をチェックし、スナップショットが一般にアクセス可能である場合に警告します。
スナップショットを公開すると、すべての AWS アカウント および ユーザーにスナップショット上のすべてのデータへのアクセス権が付与されます。スナップショットを特定のユーザーまたはアカウントとのみ共有するには、そのスナップショットをプライベートとしてマークします。その後で、スナップショットデータを共有するユーザーまたはアカウントを指定します。「すべての共有をブロック」モードで [パブリックアクセスをブロック] を有効にしている場合、パブリックスナップショットはパブリックにアクセスできず、このチェックの結果にも表示されませんのでご注意ください。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
**チェック ID**
`ePs02jT06w`
**アラート条件**
赤: EBS ボリュームスナップショットはパブリックにアクセス可能です。
**[Recommended Action] (推奨されるアクション)**
スナップショット内のすべてのデータをすべての AWS アカウント および ユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「[Amazon EBS スナップショットの共有](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)」を参照してください。EBS スナップショットのパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。このチェックを Trusted Advisor コンソールのビューから除外することはできません。
スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用します。詳細については、「[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html)」を参照してください。
**その他のリソース**
[Amazon EBS スナップショット](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ ボリューム ID
+ スナップショット ID
+ 説明
## Amazon RDS Aurora ストレージの暗号化は無効になっています
**説明**
Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。
Aurora DB クラスターの作成時に暗号化が有効になっていない場合は、復号化されたスナップショットを暗号化された DB クラスターに復元する必要があります。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
DB インスタンスまたは DB クラスターが停止すると、3 ~ 5 Trusted Advisor 日間の Amazon RDS レコメンデーションを で表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [**推奨事項**] を選択します。
DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。
**チェック ID**
`c1qf5bt005`
**アラート条件**
赤: Amazon RDS Aurora リソースでは暗号化が有効になっていません。
**[Recommended Action] (推奨されるアクション)**
DB クラスターの保管中のデータの暗号化を有効にします。
**その他のリソース**
DB インスタンスの作成時に暗号化を有効にすることも、回避策を使用してアクティブな DB インスタンスの暗号化を有効にすることもできます。復号化された DB クラスターを暗号化された DB クラスターに変更することはできません。ただし、複合化されたスナップショットを暗号化された DB クラスターに復元することはできます。復号されたスナップショットから復元する場合は、 AWS KMS キーを指定する必要があります。
詳細については、「[Amazon Aurora リソースの暗号化](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)」を参照してください。
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ リソース
+ エンジン名
+ 最終更新日時
## Amazon RDS エンジンのマイナーバージョンアップグレードが必須です。
**説明**
データベースリソースで最新のマイナー DB エンジンバージョンが実行されていません。最新のマイナーバージョンには、最新のセキュリティ修正プログラムやその他の改善が含まれています。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
DB インスタンスまたは DB クラスターが停止すると、3 ~ 5 Trusted Advisor 日間の Amazon RDS レコメンデーションを で表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [**推奨事項**] を選択します。
DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。
**チェック ID**
`c1qf5bt003`
**アラート条件**
黄: Amazon RDS リソースで最新のマイナー DB エンジンバージョンが実行されていません。
**[Recommended Action] (推奨されるアクション)**
最新バージョンにアップグレードします。
**その他のリソース**
最新の DB エンジンのマイナーバージョンには、最新のセキュリティと機能の修正が含まれているため、このバージョンでデータベースを保守することをお勧めします。DB エンジンのマイナーバージョンのアップグレードには、DB エンジンの同じメジャーバージョンの以前のマイナーバージョンと後方互換性のあるデータベースの変更のみが含まれます。
詳細については、「[DB インスタンスのエンジンバージョンのアップグレード](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)」を参照してください。
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ リソース
+ エンジン名
+ 現行のエンジンバージョン
+ 推奨値
+ 最終更新日時
## Amazon RDS パブリックスナップショット
**説明**
Amazon Relational Database Service (Amazon RDS) DB スナップショットのアクセス許可設定をチェックし、スナップショットがパブリックとしてマークされている場合に警告します。
スナップショットを公開すると、すべての AWS アカウント および ユーザーにスナップショット上のすべてのデータへのアクセス権が付与されます。スナップショットを特定のユーザーまたはアカウントをのみ共有する場合は、そのスナップショットをプライベートとしてマークします。その後にスナップショットデータを共有するユーザーまたはアカウントを指定します。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
**チェック ID**
`rSs93HQwa1`
**アラート条件**
赤: Amazon RDS スナップショットはパブリックとしてマークされています。
**[Recommended Action] (推奨されるアクション)**
スナップショット内のすべてのデータをすべての AWS アカウント および ユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「[DB スナップショットまたは DB クラスタースナップショットの共有](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)」を参照してください。このチェックを Trusted Advisor コンソールのビューから除外することはできません。
スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用できます。詳細については、「[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html)」を参照してください。
**その他のリソース**
[Amazon RDS DB インスタンスのバックアップと復元](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ DB インスタンスまたはクラスター ID
+ スナップショット ID
## Amazon RDS セキュリティグループのアクセスリスク
**説明**
Amazon Relational Database Service(Amazon RDS)のセキュリティグループ設定をチェックし、セキュリティグループルールでデータベースへの過度なアクセスが許可されている場合に警告します。セキュリティグループルールの推奨設定は、特定の Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループまたは特定の IP アドレスからのアクセスのみを許可することです。
このチェックでは、[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 外で実行されている Amazon RDS インスタンスにアタッチされているセキュリティグループのみが評価されます。
**チェック ID**
`nNauJisYIT`
**アラート条件**
+ 黄: DB セキュリティグループルールは、次のポートのいずれかでグローバルアクセス権を付与する Amazon EC2 セキュリティグループを参照しています: 20、21、22、1433、1434、3306、3389、4333、5432、5500。
+ 赤: DB セキュリティグループルールはグローバルアクセス権を付与します (CIDR ルールのサフィックスは /0)。
+ 緑: DB セキュリティグループに寛容なルールが含まれていません。
**[Recommended Action] (推奨されるアクション)**
EC2-Classic は 2022 年 8 月 15 日に廃止されました。Amazon RDS インスタンスを VPC に移行し、Amazon EC2 セキュリティグループを使用することをお勧めします。DB インスタンスを VPC に移行する方法の詳細については、「[VPC 外の DB インスタンスを VPC 内に移行する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.Non-VPC2VPC.html)」を参照してください。
Amazon RDS インスタンスを VPC に移行できない場合は、セキュリティグループのルールを確認し、承認された IP アドレスまたは IP 範囲へのアクセスを制限します。セキュリティグループを編集するには、[AuthorizeDBSecurityGroupIngress](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.html) API または AWS マネジメントコンソールを使用します。詳細については、「[DB セキュリティグループの操作](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithSecurityGroups.html)」を参照してください。
**その他のリソース**
+ [Amazon RDS セキュリティグループ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)
+ [クラスレスドメイン間ルーティング](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [TCP と UDP のポート番号のリスト](https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ RDS セキュリティグループ名
+ 受信ルール
+ Reason
## Amazon RDS ストレージの暗号化は無効になっています。
**説明**
Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。
DB インスタンスの作成時に暗号化が有効になっていない場合は、暗号化を有効にする前に、復号化されたスナップショットの暗号化されたコピーを復元する必要があります。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
DB インスタンスまたは DB クラスターが停止すると、3 ~ 5 Trusted Advisor 日間の Amazon RDS レコメンデーションを で表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [**推奨事項**] を選択します。
DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。
**チェック ID**
`c1qf5bt006`
**アラート条件**
赤: Amazon RDS リソースでは暗号化が有効になっていません。
**[Recommended Action] (推奨されるアクション)**
DB インスタンスの保管中のデータの暗号化を有効にします。
**その他のリソース**
DB インスタンスを暗号化できるのは、DB インスタンスを作成するときだけです。既存のアクティブな DB インスタンスを暗号化するには:
**元の DB インスタンスの暗号化されたコピーを作成する**
1. DB インスタンスのスナップショットを作成します。
1. ステップ 1 で作成したスナップショットの暗号化されたコピーを作成します。
1. 暗号化されたスナップショットから DB インスタンスを復元します。
詳細については、以下のリソースを参照してください。
+ [Amazon RDS リソースを暗号化する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ DB スナップショットのコピー
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ リソース
+ エンジン名
+ 最終更新日時
## S3 バケットを直接指定する Amazon Route 53 の CNAME レコードの不一致
**説明**
Amazon S3 バケットのホスト名を直接指す CNAME レコードを持つ Amazon Route 53 ホストゾーンをチェックし、CNAME が S3 バケット名と一致しない場合にアラートを出します。
**チェック ID**
`c1ng44jvbm`
**アラート条件**
赤: Amazon Route 53 ホストゾーンに、S3 バケットのホスト名の不一致を示す CNAME レコードがあります。
緑: Amazon Route 53 ホストゾーンと一致しない CNAME レコードはありませんでした。
**[Recommended Action] (推奨されるアクション)**
CNAME レコードを S3 バケットのホスト名に指定する場合は、設定した CNAME またはエイリアスレコードと一致するバケットが存在することを確認する必要があります。これにより、CNAME レコードが偽装されるリスクを回避できます。また、権限のない AWS ユーザーがドメインで障害や悪意のあるウェブコンテンツをホストしないようにします。
CNAME レコードが S3 バケットのホスト名に直接指定されないようにするには、オリジンアクセスコントロール (OAC) を使用し、Amazon CloudFront を通じて S3 バケットのウェブアセットにアクセスすることを検討してください。
CNAME を Amazon S3 バケットのホスト名に関連付ける方法の詳細については、「[CNAME レコードを使用した Amazon S3 URL のカスタマイズ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLs)」を参照してください。
**その他のリソース**
+ [ホスト名を Amazon S3 バケットに関連付ける方法](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLsHowTo)
+ [CloudFront を使用した Amazon S3 オリジンへのアクセスの制限](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)
**[Report columns] (レポート列)**
+ ステータス
+ ホストゾーン ID
+ ホストゾーン ARN
+ 一致する CNAME レコード
+ 一致しない CNAME レコード
+ 最終更新日時
## Amazon Route 53 MX リソースレコードセットと Sender Policy Framework
**説明**
各 MX レコードについて、有効な SPF 値を含む関連付けられた TXT レコードをチェックします。TXT レコードの値は、“v=spf1" で始める必要があります。SPF レコードタイプは、Internet Engineering Task Force (IETF) によって非推奨とされています。Route 53 では、SPF レコードの代わりに TXT レコードを使用するのがベストプラクティスではありません。MX レコードに有効な SPF 値を持つ TXT レコードが少なくとも 1 つ関連付けられている場合、 はこのチェックを緑色として Trusted Advisor 報告します。
このチェックでは、条件によってフラグ付けされたリソースと、`OK` のリソースを含む評価されたリソースの総数がレポートされます。リソーステーブルには、フラグが付けられたリソースのみが一覧表示されます。
**チェック ID**
`c9D319e7sG`
**アラート条件**
+ 緑: MX リソースレコードセットには、有効な SPF 値を含む TXT リソースレコードがあります。
+ 黄: MX リソースレコードセットには、有効な SPF 値を含む TXT または SPF リソースレコードがあります。
+ 赤: MX リソースレコードセットには、有効な SPF 値を含む TXT または SPF リソースレコードがありません。
**[Recommended Action] (推奨されるアクション)**
MX リソースレコードセットごとに、有効な SPF 値を含む TXT リソースレコードセットを作成します。詳細については、「[Sender Policy Framework: SPF Record Syntax](http://www.open-spf.org/SPF_Record_Syntax)」(Sender Policy Framework: SPF レコード構文) および「[Amazon Route 53 コンソールを使用したリソースレコードセットの作成](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/RRSchanges_console.html)」を参照してください。
**その他のリソース**
+ [MX レコードタイプ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#MXFormat)
+ [SPF レコードタイプ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#SPFFormat)
+ [Why don't other mail providers identify the SPF record I successfully created in Route 53?](https://repost.aws/knowledge-center/route53-spf-record)
+ [RFC 7208](https://tools.ietf.org/html/rfc7208#section-14.1)
**[Report columns] (レポート列)**
+ ホストゾーン名
+ ホストゾーン ID
+ リソースレコードセット名
+ ステータス
## Amazon S3 バケット許可
**説明**
オープンアクセス許可を持つ、または認証された AWS ユーザーへのアクセスを許可する Amazon Simple Storage Service (Amazon S3) のバケットをチェックします。
このチェックでは、明示的なバケットアクセス許可、およびそのアクセス許可をオーバーライドする可能性のあるバケットポリシーが調べられます。Amazon S3 バケットのすべてのユーザーにリストアクセス許可を付与することは推奨されません。これらのアクセス許可により、意図しないユーザーがバケット内のオブジェクトを頻繁にリストすることがあります。結果として、予想される料金よりも高くなる可能性があります。すべてのユーザーにアップロードと削除のアクセス許可を付与すると、バケットのセキュリティの脆弱性が生じる可能性があります。
**チェック ID**
`Pfx0RwqBli`
**アラート条件**
+ 赤: バケット ACL は、**すべての**ユーザーに対してリストアクセスまたはアップロード/削除アクセスを許可します。認証**済み AWS ユーザー**および**ブロックパブリックアクセス**設定は有効になっていません。
+ 赤: バケットポリシーはパブリックアクセスを許可し、**パブリックアクセスのブロック**設定は有効になっていません。
+ 赤: Trusted Advisor ポリシーを確認するアクセス許可がないか、他の理由でポリシーを評価できませんでした。
+ 黄: バケットポリシーはパブリックアクセスを許可しますが、**パブリックバケットの制限**設定は有効になっており、そのアカウントの承認されたユーザーのみにアクセスを制限します。
+ 黄: バケットは準拠していますが、完全な**ブロックパブリックアクセス**保護が有効になっていません。
+ 緑: バケットは準拠しており、完全な**ブロックパブリックアクセス**保護が有効になっています。
パブリック ACL 許可は、パブリックアクセス**無視パブリック ACLs**が有効になっている場合は評価されません。
**推奨されるアクション**
バケットがオープンアクセスを許可している場合、オープンアクセスが本当に必要かどうかを判断します。例えば、静的ウェブサイトをホストするには、Amazon CloudFront を使用して Amazon S3 でホストされているコンテンツを提供できます。詳細については、「Amazon CloudFront デベロッパーガイド」の「[Amazon S3 オリジンへのアクセスを制限する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)」を参照してください。必要でない場合は、バケットの許可を更新して、所有者または特定のユーザーへのアクセスを制限します。Amazon S3 のパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。「[バケットとオブジェクトのアクセス許可の設定](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/set-permissions.html)」を参照してください。
**その他のリソース**
[Managing Access Permissions to Your Amazon S3 Resources](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html) (Amazon S3 リソースへのアクセス許可の管理)
[S3 バケットへのパブリックアクセスブロック設定の構成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン名
+ リージョン API パラメータ
+ バケット名
+ ACL でリストを許可
+ ACL でアップロード/削除を許可
+ ポリシーでアクセスを許可
## DNS 解決が無効になっている Amazon VPC ピアリング接続
**説明**
VPC ピアリング接続で、アクセプターとリクエスター VPC の両方の DNS 解決が有効になっているかどうかを確認します。
VPC ピアリング接続の DNS 解決により、パブリック DNS ホスト名がプライベート IPv4 アドレスに解決されるように VPC からクエリを実行することができます。これにより、ピアリングされた VPC 内のリソース間の通信に DNS 名を使用できるようになります。VPC ピアリング接続の DNS 解決により、アプリケーションの開発と管理が簡単になり、エラーが発生しにくくなります。また、リソースは常に VPC ピアリング接続を介してプライベートに通信できます。
AWS Config ルールの **vpcIds** パラメータを使用して VPC IDs を指定できます。
詳細については、「[VPC ピアリング接続の DNS 解決を有効にする](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)」を参照してください。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`c18d2gz124`
**ソース**
`AWS Config Managed Rule: vpc-peering-dns-resolution-check`
**アラート条件**
黄: VPC ピアリング接続のアクセプター VPC とリクエスタ VPC の両方で DNS 解決が有効になっていません。
**[Recommended Action] (推奨されるアクション)**
VPC ピアリング接続の DNS 解決を有効にします。
**その他のリソース**
+ [VPC ピアリング接続オプションを変更する](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)
+ [VPC 内の DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ [リソース]
+ AWS Config ルール
+ 入力パラメータ
+ 最終更新日時
## Application Load Balancer ターゲットグループの暗号化プロトコル
**説明**
Application Load Balancer (ALB) ターゲットグループが HTTPS プロトコルを使用して、インスタンスまたは IP のバックエンドターゲットタイプの転送中の通信を暗号化していることを確認します。ALB とバックエンドターゲット間の HTTPS リクエストは、転送中のデータの機密性を維持するのに役立ちます。
**チェック ID**
`c2vlfg0p1w`
**アラート条件**
+ 黄: HTTP を使用する Application Load Balancer ターゲットグループ。
+ 緑: HTTPS を使用する Application Load Balancer ターゲットグループ。
**[Recommended Action] (推奨されるアクション)**
HTTPS アクセスをサポートするようにインスタンスまたは IP のバックエンドターゲットタイプを設定し、HTTPS プロトコルを使用して ALB とインスタンスまたは IP のバックエンドターゲットタイプ間の通信を暗号化するようにターゲットグループを変更します。
**その他のリソース**
[転送中の暗号化を強制する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html)
[Target type](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-type)
[Routing configuration](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration)
[Data protection in Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ ALB ARN
+ ALB 名
+ ALB VPC ID
+ ターゲットグループ ARN
+ 対象グループ名
+ ターゲットグループプロトコル
+ 最終更新日時
## AWS Backup 復旧ポイントの削除を防ぐためのリソースベースのポリシーがないボールト
**説明**
AWS Backup ボールトに、復旧ポイントの削除を防止するリソースベースのポリシーがアタッチされているかどうかを確認します。
リソースベースのポリシーにより、リカバリポイントが予期せず削除されるのを防ぐことができるため、バックアップデータに対して最小特権でアクセス制御を行うことができます。
ルールの **principalArnList** パラメータ AWS Config でルールがチェックしない AWS Identity and Access Management ARNsを指定できます。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`c18d2gz152`
**ソース**
`AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled`
**アラート条件**
黄: 復旧ポイントの削除を防ぐためのリソースベースのポリシーがない AWS Backup ボールトがあります。
**[Recommended Action] (推奨されるアクション)**
復旧ポイントの予期しない削除を防ぐため、 AWS Backup ボールトのリソースベースのポリシーを作成します。
ポリシーには、backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy 権限を含む「拒否」ステートメントを含める必要があります。
詳細については、「[Set access policies on backup vaults](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html)」を参照してください。
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ [リソース]
+ AWS Config ルール
+ 入力パラメータ
+ 最終更新日時
## AWS CloudTrail 管理イベントのログ記録
**説明**
の使用を確認します AWS CloudTrail。CloudTrail は、 のアクティビティをより詳細に可視化します AWS アカウント。これを行うには、アカウントで行われた AWS API コールに関する情報を記録します。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。
CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、CloudTrail には、そのバケットに対する書き込みアクセス許可が必要です。証跡をすべての AWS リージョン に適用する場合 (新しい証跡を作成した場合のデフォルト)、証跡は Trusted Advisor レポートに複数回表示されます。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`c25hn9x03v`
**アラート条件**
+ 赤: の証跡が作成されないか AWS リージョン、証跡のログ記録が有効になっていません。
+ 黄: CloudTrail は有効になっていますが、すべての証跡でログ配信エラーが報告されています。
+ 緑: CloudTrail は有効になっており、ログ配信エラーは報告されていません。
**[Recommended Action] (推奨されるアクション)**
証跡を作成してコンソールからログ記録を開始するには、[AWS CloudTrail コンソール](https://console.aws.amazon.com/cloudtrail/home)を開きます。
ログ記録を開始するには、「[Stopping and Starting Logging for a Trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_using_cli.html#stopstartclil)」(証跡のログ記録の停止と開始) を参照してください。
ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認してください。「[Amazon S3 バケットポリシー](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_bucket_policy.html)」を参照してください。
**その他のリソース**
+ [AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)
+ [サポートされるリージョン](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_regions.html)
+ [サポートされるサービス](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_services.html)
+ [組織の証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ ロギング有効
+ 報告された配信エラー
+ 最終更新日時
## AWS Lambda 非推奨ランタイムを使用する関数
**説明**
\$1LATEST バージョンが、まもなく非推奨になるランタイムを使用するか、または非推奨のランタイムを使用するように設定されている Lambda 関数をチェックします。非推奨のランタイムは、セキュリティアップデートやテクニカルサポートの対象にはなりません。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
公開された Lambda 関数のバージョンは不変です。つまり、呼び出すことはできますが、更新することはできません。更新できるのは Lambda 関数の `$LATEST` バージョンのみです。詳細については、「[Lambda 関数のバージョン](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)」を参照してください。
**チェック ID**
`L4dfs2Q4C5`
**アラート条件**
+ 赤: 関数の \$1LATEST バージョンは、既に非推奨になっているランタイムを使用するように設定されています。
+ 黄: 関数の \$1LATEST バージョンは、まもなく非推奨になるランタイムで実行されています。関数には、180 日以内に非推奨となるランタイムが含まれています。
**[Recommended Action] (推奨されるアクション)**
もうすぐ非推奨になるランタイムで実行されている関数がある場合は、サポート対象のランタイムへの移行に向けて準備する必要があります。詳細については、「[Runtime support policy](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)」(ランタイムサポートポリシー) を参照してください。
使用しなくなった以前の関数バージョンを削除することをお勧めします。
**その他のリソース**
[Lambda ランタイム](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ 関数 ARN
+ 実行時間
+ 非推奨になるまでの日数
+ 廃止日
+ 平均日次呼び出し
+ 最終更新日時
## セキュリティに関する AWS Well-Architected のリスクの高い問題
**説明**
セキュリティの柱で、ワークロードに関するリスクの高い問題 (HRI) をチェックします。このチェックは、お客様の AWS-Well Architected レビューに基づきます。チェック結果は、AWS Well-Architected でワークロード評価を完了したかどうかによって異なります。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
**チェック ID**
`Wxdfp4B1L3`
**アラート条件**
+ 赤: AWS Well-Architected のセキュリティの柱で、少なくとも 1 つのアクティブな高リスクの問題が特定されました。
+ 緑: AWS Well-Architected のセキュリティの柱でアクティブな高リスクの問題は検出されませんでした。
**[Recommended Action] (推奨されるアクション)**
AWS Well-Architected は、ワークロード評価中に高リスクの問題を検出しました。これらの問題は、リスクを軽減し、費用を節約する機会を提示します。[AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) ツールにサインインして、回答を確認し、アクティブな問題を解決するためのアクションを実行します。
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ ワークロードの ARN
+ ワークロード名
+ レビュー担当者名
+ ワークロードタイプ
+ ワークロードの開始日
+ ワークロードの最終変更日
+ セキュリティについて特定された HRI の数
+ セキュリティについて解決された HRI の数
+ セキュリティについての質問の数
+ セキュリティの柱の質問の総数
+ 最終更新日時
## IAM 証明書ストアの CloudFront 独自 SSL 証明書
**説明**
このチェックは、従来の Amazon CloudFront ディストリビューションに適用されます。
IAM 証明書ストア内の CloudFront 代替ドメイン名の SSL 証明書をチェックします。このチェックでは、証明書の期限が切れている場合、近日中に証明書の期限が切れる場合、証明書で古い暗号化が使用されている場合、またはディストリビューションに対して証明書が正しく構成されていない場合にアラートが発生します。
代替ドメイン名のカスタム証明書の有効期限が切れると、CloudFront コンテンツを表示するブラウザにウェブサイトのセキュリティに関する警告メッセージが表示されることがあります。SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのほとんどのウェブブラウザで非推奨になる予定です。
証明書には、オリジンドメイン名、またはビューワーリクエストのホストヘッダー内のドメイン名のいずれかに一致するドメイン名が含まれている必要があります。一致しない場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) をユーザーに返します。詳細については、「[代替ドメイン名と HTTPS の使用](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)」を参照してください。
このチェックでは、条件によってフラグ付けされたリソースと、`OK` のリソースを含む評価されたリソースの総数がレポートされます。リソーステーブルには、フラグが付けられたリソースのみが一覧表示されます。
**チェック ID**
`N425c450f2`
**アラート条件**
+ 赤: カスタム SSL 証明書の有効期限が切れています。
+ 黄: カスタム SSL 証明書は今後 7 日で期限切れになります。
+ 黄: カスタム SSL 証明書が SHA-1 ハッシュアルゴリズムを使用して暗号化されています。
+ 黄: ディストリビューション内の 1 つ以上の代替ドメイン名が、カスタム SSL 証明書の [Common Name] (共通名) フィールドにも [Subject Alternative Names] (サブジェクト代替名) フィールドにも表示されません。
**[Recommended Action] (推奨されるアクション)**
AWS Certificate Manager を使用してサーバー証明書をプロビジョニング、管理、デプロイすることをお勧めします。ACM を使用すると、新しい証明書をリクエストしたり、既存の ACM または外部証明書を AWS リソースにデプロイしたりできます。ACM で提供された証明書は無料で、自動的に更新できます。ACM の使用の詳細については、「[AWS Certificate Manager ユーザーガイド](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)」を参照してください。 AWS リージョン ACM がサポートしていることを確認するには、「」の[AWS Certificate Manager 「エンドポイント](https://docs.aws.amazon.com/general/latest/gr/acm.html)とクォータ」を参照してください AWS 全般のリファレンス。
期限切れになっている証明書、または間もなく期限切れになる証明書を更新します。証明書の更新の詳細については、「IAM で[サーバー証明書を管理する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)」を参照してください。
SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。
証明書を、[Common Names] (共通名) フィールドまたは [Subject Alternative Domain Names] (サブジェクト代替ドメイン名) フィールドに該当する値を含む証明書に置き換えます。
**その他のリソース**
[HTTPS 接続を使用したオブジェクトへのアクセス](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html)
[証明書のインポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)
[AWS Certificate Manager ユーザーガイド](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)
**[Report columns] (レポート列)**
+ ステータス
+ ディストリビューション ID
+ ディストリビューションドメイン名
+ 証明書名
+ Reason
## オリジンサーバーの CloudFront 独自 SSL 証明書
**説明**
オリジンサーバーで、有効期限が切れている SSL 証明書、有効期限が近づいている SSL 証明書、欠落している SSL 証明書、または古い暗号化を使用している SSL 証明書をチェックします。証明書に上記のいずれかの問題がある場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) を使用してコンテンツのリクエストに応答します。
SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのウェブブラウザで非推奨になる予定です。CloudFront ディストリビューションに関連付けられている SSL 証明書の数によっては、このチェックにより、CloudFront ディストリビューションのオリジンとして Amazon EC2 または Elastic Load Balancing AWS を使用している場合など、ウェブホスティングプロバイダーの請求書に 1 か月あたり数セントが追加される場合があります。このチェックでは、オリジン証明書チェーンまたは認証局は検証されません。これらは CloudFront 設定で確認できます。
このチェックでは、条件によってフラグ付けされたリソースと、`OK` のリソースを含む評価されたリソースの総数がレポートされます。リソーステーブルには、フラグが付けられたリソースのみが一覧表示されます。
**チェック ID**
`N430c450f2`
**アラート条件**
+ 赤: オリジンの SSL 証明書の有効期限が切れているか、存在しません。
+ 黄: オリジンの SSL 証明書は今後 30 日以内に期限切れになります。
+ 黄: オリジンの SSL 証明書が SHA-1 ハッシュアルゴリズムを使用して暗号化されています。
+ 黄: オリジンの SSL 証明書が見つかりません。タイムアウトや他の HTTPS 接続の問題により、接続が失敗した可能性があります。
**[Recommended Action] (推奨されるアクション)**
有効期限が切れているか、間もなく期限切れになる場合は、オリジンで証明書を更新します。
証明書が存在しない場合は追加します。
SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。
**その他のリソース**
[代替ドメイン名と HTTPS の使用](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)
**[Report columns] (レポート列)**
+ ステータス
+ ディストリビューション ID
+ ディストリビューションドメイン名
+ オリジン
+ Reason
## ELB リスナーのセキュリティ
**説明**
暗号化された通信に推奨されるセキュリティ設定を使用していないリスナーを持つ Classic Load Balancer をチェックします。 AWS では、セキュアなプロトコル (HTTPS または SSL)、最新のセキュリティポリシー、およびセキュアな暗号とプロトコルの使用を推奨しています。フロントエンド接続 (クライアントからロードバランサーへの接続) にセキュアなプロトコルを使用すると、クライアントとロードバランサーの間でリクエストが暗号化されるため、より安全な環境を構築できます。Elastic Load Balancing は、セキュリティに関する AWS のベストプラクティスに準拠する暗号化およびプロトコルを使用する事前定義済みのセキュリティポリシーを提供します。新しい構成が利用可能になると、事前定義済みのポリシーの新しいバージョンがリリースされます。
**チェック ID**
`a2sEc6ILx`
**アラート条件**
+ 赤: ロードバランサーには、セキュアなプロトコル (HTTPS) で設定されたリスナーがありません。
+ 黄: ロードバランサーの HTTPS リスナーは、弱い暗号を含むセキュリティポリシーで設定されています。
+ 黄: ロードバランサーの HTTPS リスナーに、推奨されるセキュリティポリシーが設定されていません。
+ 緑: ロードバランサーに少なくとも 1 つの HTTPS リスナーがあり、かつすべての HTTPS リスナーが推奨ポリシーで設定されています。
**[Recommended Action] (推奨されるアクション)**
ロードバランサーへのトラフィックをセキュリティで保護する必要がある場合は、フロントエンド接続に HTTPS または SSL プロトコルを使用します。
ロードバランサーを事前定義済みの SSL セキュリティポリシーの最新バージョンにアップグレードします。
推奨される暗号とプロトコルのみを使用してください。
詳細については、[「Listener Configurations for Elastic Load Balancing」](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-listener-config.html)(Elastic Load Balancing のリスナー設定) を参照してください。
**その他のリソース**
+ [リスナー設定のクイックリファレンス](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/using-elb-listenerconfig-quickref.html)
+ [ロードバランサーの SSL ネゴシエーション設定を更新する](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-config-update.html)
+ [SSL Negotiation Configurations for Elastic Load Balancing](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html) (Elastic Load Balancing の SSL ネゴシエーション設定)
+ [SSL セキュリティポリシーのテーブル](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ ロードバランサー名
+ ロードバランサーのポート
+ Reason
## Classic Load Balancer のセキュリティグループ
**説明**
ロードバランサー用に設定されていないポートへのアクセスを許可するセキュリティグループで設定されたロードバランサーをチェックします。
ロードバランサー用に設定されていないポートへのアクセスがセキュリティグループで許可されている場合、データの損失や悪意のある攻撃のリスクが高くなります。
**チェック ID**
`xSqX82fQu`
**アラート条件**
+ 黄: ロードバランサーに関連付けられた Amazon VPC セキュリティグループのインバウンドルールは、ロードバランサーのリスナー設定で定義されていないポートへのアクセスを許可します。
+ 緑: ロードバランサーに関連付けられた Amazon VPC セキュリティグループのインバウンドルールは、ロードバランサーのリスナー設定で定義されていないポートへのアクセスを許可していません。
**[Recommended Action] (推奨されるアクション)**
セキュリティグループルールを設定して、ロードバランサーのリスナー設定で定義されたポートとプロトコル、および Path MTU Discovery をサポートする ICMP プロトコルのみにアクセスを制限します。「[Listeners for Your Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html)」(Classic Load Balancer のリスナー) および「[Security Groups for Load Balancers in a VPC](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)」(VPC のロードバランサーのセキュリティグループ) を参照してください。
セキュリティグループがない場合は、ロードバランサーに新しいセキュリティグループを適用します。ロードバランサーのリスナー設定で定義されているポートとプロトコルのみにアクセスを制限するセキュリティグループルールを作成します。「[VPC でのロードバランサーのセキュリティグループ](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)」を参照してください。
**その他のリソース**
+ [Elastic Load Balancing ユーザーガイド](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)
+ [Classic Load Balancer を移行する](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/migrate-classic-load-balancer.html)
+ [Classic Load Balancer を設定する](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-configure-load-balancer.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ ロードバランサー名
+ セキュリティグループ ID
+ Reason
## 露出したアクセスキー
**説明**
一般に露出されているアクセスキー、およびアクセスキーが侵害された結果である可能性のある Amazon Elastic Compute Cloud (Amazon EC2) の不規則な使用状況について頻繁に使用されているコードリポジトリをチェックします。
アクセスキーは、アクセスキー ID とそれに対応するシークレットアクセスキーで構成されます。露出したアクセスキーは、アカウントや他のユーザーにセキュリティ上のリスクの原因となり、不正な活動や不正使用に起因する過度の請求が発生する可能性があるだけでなく、[AWS カスタマーアグリーメント](https://aws.amazon.com/agreement)の違反になることがあります。
アクセスキーが露出している場合は、直ちにアカウントを保護してください。アカウントを過剰な料金から保護するために、 AWS は一時的に一部の AWS リソースを作成する機能を制限します。これにより、アカウントのセキュリティが確保されるわけではありません。課金される可能性のある不正使用を部分的に制限するだけです。
このチェックでは、露出したアクセスキーまたは侵害された EC2 インスタンスの識別は保証されません。アクセスキーと AWS リソースの安全性とセキュリティは、最終的にお客様の責任となります。
このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。
AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランのお客様は、[BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。
アクセスキーの期限が表示され AWS アカウント た場合は、その日付までに不正使用が停止されない場合、 を停止 AWS できます。アラートがエラー状態であると思われる場合は、[AWS サポートまで問い合わせてください](https://console.aws.amazon.com/support/home?#/case/create?issueType=customer-service&serviceCode=customer-account&categoryCode=security)。
に表示される情報は、アカウントの最新の状態を反映していない Trusted Advisor 可能性があります。アカウントで公開されているすべてのアクセスキーが解決されるまで、公開されたアクセスキーが解決済みとしてマークされることはありません。このデータ同期には、最大 1 週間かかる場合があります。
**チェック ID**
`12Fnkpl8Y5`
**アラート条件**
+ 赤: 侵害された可能性がある – は、インターネットで公開され、侵害された (使用された) 可能性があるアクセスキー ID と対応するシークレットアクセスキー AWS を特定しました。
+ 赤: 公開済み – AWS は、インターネットで公開されているアクセスキー ID と対応するシークレットアクセスキーを識別しました。
+ 赤: 疑わしいです - Amazon EC2 の不規則な使用は、アクセスキーが侵害された可能性があることを示唆していますが、インターネット上で公開されていると識別されてはいません。
**[Recommended Action] (推奨されるアクション)**
影響を受けるアクセスキーを可能な限り早急に削除します。キーが IAM ユーザーに関連付けられている場合は、「[IAM ユーザーのアクセスキーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html)」を参照してください。
アカウントで不正使用がないか確認してください。[AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインし、疑わしいリソースがないか各サービスコンソールを確認します。Amazon EC2 インスタンスの実行、スポットインスタンスリクエスト、アクセスキー、IAM ユーザーには特に注意してください。[Billing and Cost Management コンソール](https://console.aws.amazon.com/billing/home#/)で全体的な使用状況を確認することもできます。
**その他のリソース**
+ [AWS アクセスキーを管理するためのベストプラクティス](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)
+ [AWS セキュリティ監査ガイドライン](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
**[Report columns] (レポート列)**
+ アクセスキー ID
+ ユーザー名 (IAM またはルート)
+ 不正行為のタイプ
+ ケース ID
+ 更新日時
+ ロケーション
+ Deadline
+ 使用状況 (USD/日)
## IAM アクセスキーローテーション
**説明**
過去 90 日間にローテーションされていないアクティブな IAM アクセスキーをチェックします。
アクセスキーを定期的にローテーションすると、侵害されたキーが知らないうちにリソースへのアクセスに使用される可能性を削減できます。このチェックでの最後のローテーション日時は、アクセスキーが作成された日または最後にアクティブ化された日です。アクセスキーの番号と日付は `access_key_1_last_rotated` および `access_key_2_last_rotated` 情報を直近の IAM 認証情報レポートから取得されます。
認証情報レポートの再生頻度は制限されているため、このチェックを更新しても最近の変更が反映されない場合があります。詳細については、「[AWS アカウントの認証情報レポートの取得](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)」を参照してください。
アクセスキーを作成してローテーションするには、ユーザーに適切な許可が必要です。詳細については、「[Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions_examples.html#creds-policies-credentials)」(自らのパスワード、アクセスキー、および SSH キーの管理をユーザーに許可する) を参照してください。
**チェック ID**
`DqdJqYeRm5`
**アラート条件**
+ 緑: アクセスキーはアクティブで、過去 90 日間にローテーションされています。
+ 黄: アクセスキーはアクティブで、過去 2 年間でローテーションされましたが、90 日を超える期間が経過しています。
+ 赤: アクセスキーはアクティブで、過去 2 年間ローテーションされていません。
**[Recommended Action] (推奨されるアクション)**
アクセスキーを定期的にローテーションします。「[アクセスキーの更新](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)」および「[IAM ユーザーのアクセスキーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)」を参照してください。
**その他のリソース**
+ [IAM のベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [IAM ユーザーのアクセスキーの更新方法](https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/)。
**[Report columns] (レポート列)**
+ ステータス
+ IAM ユーザー
+ アクセスキー
+ 最後にローテーションしたキー
+ Reason
## IAM Access Analyzer の外部アクセス
**説明**
アカウントレベルで IAM Access Analyzer の外部アクセスが存在するかどうかを確認します。
IAM Access Analyzer の外部アクセスアナライザーは、外部エンティティと共有されているアカウントのリソースを特定するのに役立ちます。アナライザーは検出結果を使用して一元化されたダッシュボードを作成します。新しいアナライザーが IAM コンソールでアクティブ化されると、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントの優先順位を付けることができます。外部アクセスアナライザーは、リソースのパブリックアクセスとクロスアカウントアクセスの検出結果を作成します。これは追加料金なしで利用できます。
**チェック ID**
`07602fcad6`
**アラート条件**
+ 赤: アナライザーの外部アクセスはアカウントレベルでアクティブ化されていません。
+ 緑: アナライザーの外部アクセスはアカウントレベルでアクティブ化されています。
**[Recommended Action] (推奨されるアクション)**
アカウントごとに外部アクセスアナライザーを作成することで、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントの優先順位を付けることができます。詳細については、「[AWS Identity and AWS Identity and Access Management Access Analyzer の開始方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)」を参照してください。
さらに、未使用のアクセスアナライザーを利用することをお勧めします。この有料機能により、未使用のアクセスを簡単に調べて最小特権を実現できます。詳細については、「[IAM ユーザーおよびロールに付与された未使用のアクセスを特定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-unused-access-analysis)」を参照してください。
**その他のリソース**
+ [AWS Identity and Access Management Access Analyzerの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification)
+ [IAM Access Analyzer updates: Find unused access, check policies before deployment ](https://aws.amazon.com/blogs/aws/iam-access-analyzer-updates-find-unused-access-check-policies-before-deployment)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ Account External Access Analyzer ARN
+ Organization External Access Analyzer ARN
+ 最終更新日時
## IAM パスワードポリシー
**説明**
アカウントのパスワードポリシーをチェックし、パスワードポリシーが有効になっていない場合やパスワードコンテンツの要件が有効になっていない場合に警告します。
パスワードコンテンツの要件は、強力なユーザーパスワードの作成を強制することによって AWS 環境の全体的なセキュリティを強化します。パスワードポリシーを作成または変更すると、変更は新しいユーザーに対してただちに適用されますが、既存のユーザーに対してパスワードの変更は強制されません。
**チェック ID**
`Yw2K9puPzl`
**アラート条件**
+ 緑: パスワードポリシーが有効で、推奨コンテンツ要件が有効になっています。
+ 黄: パスワードポリシーは有効になっていますが、少なくとも 1 つのコンテンツ要件が有効になっていません。
**[Recommended Action] (推奨されるアクション)**
一部のコンテンツ要件が有効になっていない場合は、有効にすることを検討してください。パスワードポリシーが有効になっていない場合は、パスワードポリシーを作成して設定します。「[IAM ユーザー用のアカウントパスワードポリシーの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html)」を参照してください。
にアクセスするには AWS マネジメントコンソール、IAM ユーザーにパスワードが必要です。ベストプラクティスとして、 AWS では IAM ユーザーを作成する代わりに、フェデレーションの使用することを強くお勧めします。フェデレーションでは、ユーザーは既存の企業認証情報を使用して、 AWS マネジメントコンソールにログインできます。IAM Identity Center を使用してユーザーを作成またはフェデレートし、IAM ロールをアカウントに引き継ぎます。
ID プロバイダーとフェデレーションの詳細については、「IAM ユーザーガイド」の「[ID プロバイダーとフェデレーション](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html)」を参照してください。IAM Identity Center の詳細については、「[IAM Identity Center ユーザーガイド](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
**その他のリソース**
[パスワードの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/Credentials-ManagingPasswords.html)
**[Report columns] (レポート列)**
+ パスワードポリシー
+ 大文字
+ 小文字
+ Number
+ 英数字以外
## IAM SAML 2.0 ID プロバイダー
**説明**
AWS アカウント が SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されているかどうかを確認します。ID を一元化し、[外部 ID プロバイダー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)または [AWS IAM アイデンティティセンター](https://aws.amazon.com/single-sign-on/) でユーザーを設定するときは、ベストプラクティスに従ってください。
**チェック ID**
`c2vlfg0p86`
**アラート条件**
+ 黄: このアカウントは、SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されていません。
+ 緑: このアカウントは、SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されています。
**[Recommended Action] (推奨されるアクション)**
AWS アカウントの IAM Identity Center をアクティブ化します。詳細については、「[Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。IAM Identity Center を有効にすると、アクセス許可セットの作成や Identity Center グループへのアクセスの割り当てなどの一般的なタスクを実行できます。詳細については、「[Getting started with IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)」を参照してください。
IAM Identity Center で人間のユーザーを管理することをお勧めします。ただし、小規模デプロイでは、短期的に人間のユーザーに対して IAM によるフェデレーションユーザーアクセスをアクティブ化できます。詳細については、「[SAML 2.0 フェデレーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)」を参照してください。
**その他のリソース**
[IAM アイデンティティセンターとは何ですか?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
[IAM とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html)
**[Report columns] (レポート列)**
+ ステータス
+ AWS アカウント ID
+ 最終更新日時
## ルートアカウントの MFA
**説明**
アカウントのルートユーザー認証情報をチェックし、多要素認証 (MFA) が有効でない場合に警告します。
セキュリティを強化するために、MFA を使用してアカウントを保護することをお勧めします。MFA では、 AWS マネジメントコンソール および関連するウェブサイトを操作するときに、ユーザーが MFA ハードウェアまたは仮想デバイスから一意の認証コードを入力する必要があります。
AWS Organizations 管理アカウントでは、 にアクセスするときにルートユーザーの多要素認証 (MFA) AWS が必要です AWS マネジメントコンソール。
AWS Organizations メンバーアカウントでは、 を使用してルート認証情報を一元管理することをお勧めします AWS Identity and Access Management。メンバーアカウントのルートユーザー認証情報は一元的に削除できるため、ルートユーザー認証情報の MFA を管理する必要がなくなります。詳細については、「*AWS Organizations ユーザーガイド*」の「[What is AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)」を参照してください。
**チェック ID**
`7DAFEmoDos`
**アラート条件**
+ 赤: MFA がルートアカウントで有効になっていません。
+ 緑: ルートユーザー認証情報 (ルートパスワード) が存在しないか、アカウントに対して MFA が有効になっています。
**推奨されるアクション**
**これがメンバーアカウントである場合 AWS Organizations:** 管理アカウントにログインし、IAM でルートアクセス管理機能を有効にして、このメンバーアカウントからルートユーザーの認証情報を削除します。「[メンバーアカウントのルートアクセスを一元化する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-enable-root-access.html)」を参照してください。
**これがスタンドアロンアカウントまたは管理アカウントである場合 AWS Organizations:** ルートアカウントにログインし、MFA デバイスをアクティブ化します。詳細については、「[MFA ステータスをチェックする](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_checking-status.html)」および「[IAM のAWS 多要素認証](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。
**その他のリソース**
+ [メンバーアカウントのルートアクセスを一元管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)
+ [AWS IAM での多要素認証](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [AWS アカウント ルートユーザーの多要素認証](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)
## ルートユーザーのアクセスキー
**説明**
ルートユーザーのアクセスキーがあるかどうかを確認します。ルートユーザーのアクセスキーペアを作成しないことを強くお勧めします。[ルートユーザーにしか実行できないタスクはごくわずか](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)であり、通常はこれらのタスクの実行頻度は低いため、 AWS マネジメントコンソール にログインしてルートユーザーのタスクを実行することをお勧めします。アクセスキーを作成する前に、[長期的なアクセスキーの代替案](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html#sec-alternatives-to-long-term-access-keys)を確認してください。
**チェック ID**
`c2vlfg0f4h`
**アラート条件**
+ 赤: ルートユーザーアクセスキーがあります
+ 緑: ルートユーザーアクセスキーがありません
**[Recommended Action] (推奨されるアクション)**
ルートユーザーのアクセスキーを削除します。「[ルートユーザーのアクセスキーを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_delete-key.html)」を参照してください。このタスクはルートユーザーが実行する必要があります。IAM ユーザーまたはロールとしてこれらの手順を実行することはできません。
**その他のリソース**
+ [ルートユーザーの認証情報を必要とするタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)
+ [紛失または忘れたルートユーザーパスワードのリセット](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)
[Report columns] (レポート列)
+ ステータス
+ アカウント ID
+ 最終更新日時
## セキュリティグループ — 開かれたポート
**説明**
セキュリティグループで特定のポートへの無制限アクセス (0.0.0.0/0) を許可するルールを確認します。
無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。リスクが最も高いポートには赤色のフラグが付けられ、リスクが低いポートには黄色のフラグが付けられます。緑色のフラグが付いたポートは、通常、HTTP や SMTP など、無制限のアクセスを必要とするアプリケーションで使用されます。
この方法でセキュリティグループを意図的に設定した場合は、追加のセキュリティ対策を使用してインフラストラクチャ (IP テーブルなど) を保護することをお勧めします。
このチェックでは、作成したセキュリティグループと IPv4 アドレスのインバウンドルールのみが評価されます。 AWS Directory Service によって作成されたセキュリティグループには赤色または黄色のフラグが付けられますが、これらはセキュリティ上のリスクを発生させるものではなく、除外できます。詳細については、「[Trusted Advisor FAQ](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)」を参照してください。
このチェックでは、条件によってフラグ付けされたリソースと、`OK` のリソースを含む評価されたリソースの総数がレポートされます。リソーステーブルには、フラグが付けられたリソースのみが一覧表示されます。
**チェック ID**
`HCP4007jGY`
**アラート条件**
+ 緑: セキュリティグループは、ポート 80、25、443、または 465 への無制限アクセスを提供しています。
+ 赤: セキュリティグループはリソースにアタッチされ、ポート 20、21、22、1433、1434、3306、3389、4333、5432、または 5500 への無制限のアクセスを提供しています。
+ 黄: セキュリティグループは、その他のポートへの無制限のアクセスを提供しています。
+ 黄: セキュリティグループはどのリソースにもアタッチさておらず、無制限のアクセスを提供しています。
**[Recommended Action] (推奨されるアクション)**
アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。
未使用のセキュリティグループを確認して削除します。を使用して AWS Firewall Manager 、 全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については AWS アカウント、 [AWS Firewall Manager ドキュメント](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)を参照してください。
EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。Session Manager を使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。
**その他のリソース**
+ [Amazon EC2 セキュリティグループ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
[TCP と UDP のポート番号のリスト](http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
+ [クラスレスドメイン間ルーティング](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [Session Manager の使用](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ セキュリティグループ名
+ セキュリティグループ ID
+ プロトコル
+ 送信元ポート
+ 送信先ポート
+ 関連付け
## セキュリティグループ — 無制限アクセス
**説明**
セキュリティグループでリソースへの無制限アクセスを許可するルールをチェックします。
無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。
このチェックでは、作成したセキュリティグループと IPv4 アドレスのインバウンドルールのみが評価されます。によって作成されたセキュリティグループ AWS Directory Service には赤または黄色のフラグが付けられますが、セキュリティリスクは発生せず、除外できます。詳細については、「[Trusted Advisor FAQ](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)」を参照してください。
このチェックでは、条件によってフラグ付けされたリソースと、`OK` のリソースを含む評価されたリソースの総数がレポートされます。リソーステーブルには、フラグが付けられたリソースのみが一覧表示されます。
**チェック ID**
`1iG5NDGVre`
**アラート条件**
+ 緑: セキュリティグループルールでは、25、80、または 443 のポートに関して、サフィックスが /0 のソース IP アドレスからのアクセスを許可しています。
+ 黄: セキュリティグループルールでは、25、80、または 443 以外のポートに関して、サフィックスが /0 のソース IP アドレスからのアクセスを許可しています。また、セキュリティグループがリソースにアタッチされています。
+ 赤: セキュリティグループルールでは、25、80、または 443 以外のポートに関して、サフィックスが /0 のソース IP アドレスからのアクセスを許可しています。また、セキュリティグループがリソースにアタッチされていません。
**[Recommended Action] (推奨されるアクション)**
アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。
未使用のセキュリティグループを確認して削除します。を使用して AWS Firewall Manager 、 全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については AWS アカウント、 [AWS Firewall Manager ドキュメント](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)を参照してください。
EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。Session Manager を使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。
**その他のリソース**
+ [Amazon EC2 セキュリティグループ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [クラスレスドメイン間ルーティング](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [Session Manager の使用](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**[Report columns] (レポート列)**
+ ステータス
+ リージョン
+ セキュリティグループ名
+ セキュリティグループ ID
+ プロトコル
+ 送信元ポート
+ 送信先ポート
+ IP 範囲
+ 関連付け