View a markdown version of this page

複数の でインバウンドインターネットアクセスに関する Network Access Analyzer の検出結果のレポートを作成する AWS アカウント - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールエピックトラブルシューティング関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

複数の でインバウンドインターネットアクセスに関する Network Access Analyzer の検出結果のレポートを作成する AWS アカウント

Amazon Web Services、Mike Virgilio

概要

AWS リソースへの意図しないインバウンドインターネットアクセスは、組織のデータ境界にリスクをもたらす可能性があります。Network Access Analyzer は、Amazon Virtual Private Cloud (Amazon VPC) の機能の一つで、Amazon Web Services (AWS) のリソースへの意図しないネットワークアクセスを識別できます。Network Access Analyzer を使用してネットワークアクセス要件を指定し、指定した要件を満たさない可能性のあるネットワークパスを特定できます。Network Access Analyzer を使用すると、次の操作を実行できます。

  1. インターネットゲートウェイを介してインターネットにアクセスできる AWS リソースを特定します。

  2. 運用環境と開発環境を分離し、またはトランザクションワークロードを分離するなど、仮想プライベートクラウド (VPC) が適切にセグメント化されていることを確認します。

Network Access Analyzer は、単一のコンポーネントだけでなく、エンドツーエンドのネットワーク到達可能性条件を分析します。リソースがインターネットにアクセスできるかどうかを判断するために、Network Access Analyzer はインターネットゲートウェイ、VPC ルートテーブル、ネットワークアクセスコントロールリスト (ACL)、Elastic Network Interface の公開 IP アドレスとセキュリティグループを評価します。これらのコンポーネントのいずれかがインターネットアクセスを妨げている場合、Network Access Analyzer は検出結果を生成しません。たとえば、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに、0/0 からのトラフィックを許可するオープンセキュリティグループがあっても、そのインスタンスがどのインターネットゲートウェイからもルーティングできないプライベートサブネットにある場合、Network Access Analyzer は検出結果を生成しません。これにより精度の高い結果が得られるため、インターネットから本当にアクセスできるリソースを特定できます。

Network Access Analyzerを実行するときには、「ネットワークアクセススコープ」を使用してネットワークアクセス要件を指定します。このソリューションは、インターネットゲートウェイとエラスティックネットワークインターフェース間のネットワークパスを識別します。このパターンでは、 が管理する組織 AWS アカウント 内の一元化された にソリューションをデプロイし AWS Organizations、組織 AWS リージョン内のすべてのアカウントを分析します。

このソリューションは、以下を念頭に置いて設計されました。

  • AWS CloudFormation テンプレートは、このパターンで AWS リソースをデプロイするために必要な労力を削減します。

  • デプロイ時に CloudFormation テンプレートのパラメータと naa-script.sh スクリプトのパラメータを調整することで、環境に合わせてカスタマイズできます。

  • Bash スクリプトは、複数のアカウントのネットワークアクセススコープをパラレルで自動的にプロビジョニングして分析します。

  • Python スクリプトは検出結果を処理し、データを抽出し、結果を統合します。Network Access Analyzer 検出結果の統合レポートを CSV 形式で確認するか、 AWS Security Hub CSPMで確認するかを選択できます。CSV レポートの例はこのパターンの「追加情報」セクションにあります。

  • 検出結果を修正することも、naa-exclusions.csv ファイルに追加して今後の分析から除外することもできます。

前提条件と制限

前提条件

  • 組織のメンバーアカウントとして管理されるセキュリティサービスとツールをホスト AWS アカウント するための AWS Organizations。このパターンでは、このアカウントはセキュリティアカウントと呼ばれています。

  • セキュリティアカウントには、アウトバウンドのインターネットにアクセスできるプライベートサブネットが必要です。手順については、「Amazon VPC のドキュメント」の「サブネットの作成」を参照してください。「NAT ゲートウェイ」または「インターフェイスVPC エンドポイント」を使用してインターネットアクセスを確立できます。

  • CloudFormation の管理者権限を委任された AWS Organizations 管理アカウントまたはアカウントへのアクセス。手順については、「CloudFormation のドキュメント」の「委任管理者の登録」を参照してください。

  • AWS Organizations と CloudFormation 間の信頼されたアクセスを有効にします。手順については、「CloudFormation ドキュメント」の「 信頼できるアクセスを有効にする AWS Organizations」を参照してください。

  • Security Hub CSPM に結果をアップロードする場合は、アカウントと Amazon EC2 インスタンスがプロビジョニングされている AWS リージョン 場所で Security Hub CSPM を有効にする必要があります。詳細については、「セットアップ AWS Security Hub CSPM」を参照してください。

制限事項

  • Network Access Analyzer 機能の制限により、クロスアカウントネットワークパスは現在分析されていません。

  • ターゲットは の組織として管理 AWS アカウント する必要があります AWS Organizations。を使用していない場合は AWS Organizations、環境の naa-execrole.yaml CloudFormation テンプレートと naa-script.sh スクリプトを更新できます。代わりに、スクリプトを実行する AWS アカウント IDs とリージョンのリストを指定します。

  • CloudFormation テンプレートは、アウトバウンドインターネットアクセスを持つプライベートサブネットに Amazon EC2 インスタンスをデプロイするように設計されています。 AWS Systems Manager エージェント (SSM エージェント) は、Systems Manager サービスエンドポイントに到達するためにアウトバウンドアクセスを必要とし、コードリポジトリのクローンを作成して依存関係をインストールするにはアウトバウンドアクセスが必要です。パブリックサブネットを使用する場合は、naa-resources.yaml テンプレートを変更して Elastic IP アドレスを Amazon EC2 インスタンスに関連付ける必要があります。

アーキテクチャ

ターゲットアーキテクチャ

オプション 1: Amazon S3 バケットの検出結果にアクセス

Amazon S3 バケット内のNetwork Access Analyzerの検出結果レポートにアクセスするためのアーキテクチャ図

図表に示す内容は以下のステップです。

  1. ソリューションを手動で実行する場合、ユーザーは Session Manager を使用して Amazon EC2 インスタンスへの認証を行い、次に naa-script.sh スクリプトを実行します。このシェルスクリプトはステップ 2~7 を実行します。

    ソリューションを自動的に実行する場合、naa-script.sh スクリプトは cron 式で定義したスケジュールで自動的に開始されます。このシェルスクリプトはステップ 2 ~ 7 を実行します。詳細については、このセクションの最後にある「自動化とスケール」を参照してください。

  2. Amazon EC2 インスタンスは Amazon S3 バケットから最新の naa-exception.csv ファイルをダウンロードします。このファイルは、プロセスの後半で Python スクリプトが除外を処理するときに使用されます。

  3. Amazon EC2 インスタンスは NAAEC2Role AWS Identity and Access Management (IAM) ロールを引き受けます。これにより、Amazon S3 バケットにアクセスし、組織内の他のアカウントの NAAExecRole IAM ロールを引き受けるアクセス許可が付与されます。

  4. Amazon EC2 インスタンスは、組織の管理アカウントの NAAExecRole IAM ロールを引き受け、組織内のアカウントのリストを生成します。

  5. Amazon EC2 インスタンスは、組織のメンバーアカウント (アーキテクチャ図ではワークロードアカウントと記載) の NAAExecRole IAM ロールを引き受け、各アカウントのセキュリティ評価を実行します。検出結果は Amazon EC2 インスタンスに JSON ファイルとして保存されます。

  6. Amazon EC2 インスタンスは Python スクリプトを使用して JSON ファイルを処理、データフィールドを抽出し、CSV レポートを作成します。

  7. Amazon EC2 インスタンスは、Amazon S3 バケットに CSV ファイルをアップロードします。

  8. Amazon EventBridge ルールはファイルのアップロードを検出し、Amazon SNS トピックを使用して、レポートが完了したことをユーザーに通知メールを送信します。

  9. ユーザーは Amazon S3 バケットから CSV ファイルをダウンロードします。ユーザーはその結果を Excel テンプレートにインポートし、結果を確認します。

オプション 2: で検出結果にアクセスする AWS Security Hub CSPM

AWS Security Hub からNetwork Access Analyzerの検出結果にアクセスするアーキテクチャ図

図に示す内容は以下のとおりです。

  1. ソリューションを手動で実行する場合、ユーザーは Session Manager を使用して Amazon EC2 インスタンスへの認証を行い、次に naa-script.sh スクリプトを実行します。このシェルスクリプトはステップ 2~7 を実行します。

    ソリューションを自動的に実行する場合、naa-script.sh スクリプトは cron 式で定義したスケジュールで自動的に開始されます。このシェルスクリプトはステップ 2 ~ 7 を実行します。詳細については、このセクションの最後にある「自動化とスケール」を参照してください。

  2. Amazon EC2 インスタンスは Amazon S3 バケットから最新の naa-exception.csv ファイルをダウンロードします。このファイルは、プロセスの後半で Python スクリプトが除外を処理するときに使用されます。

  3. Amazon EC2 インスタンスは NAAEC2Role IAM ロールを引き受け、Amazon S3 バケットにアクセスし、組織内の他のアカウントの NAAExecRole IAM 役割を引き受ける権限を付与します。

  4. Amazon EC2 インスタンスは、組織の管理アカウントの NAAExecRole IAM ロールを引き受け、組織内のアカウントのリストを生成します。

  5. Amazon EC2 インスタンスは、組織のメンバーアカウント (アーキテクチャ図ではワークロードアカウントと記載) の NAAExecRole IAM ロールを引き受け、各アカウントのセキュリティ評価を実行します。検出結果は Amazon EC2 インスタンスに JSON ファイルとして保存されます。

  6. Amazon EC2 インスタンスは Python スクリプトを使用して JSON ファイルを処理し、Security Hub CSPM にインポートするためのデータフィールドを抽出します。

  7. Amazon EC2 インスタンスは、Network Access Analyzer の検出結果を Security Hub CSPM にインポートします。

  8. Amazon EventBridge ルールはインポートを検出し、Amazon SNS トピックで処理が完了したことをユーザーに通知メールを送信します。

  9. ユーザーは Security Hub CSPM で検出結果を表示します。

自動化とスケール

naa-script.sh スクリプトをカスタムスケジュールで自動的に実行するように、このソリューションをスケジュールできます。カスタムスケジュールを設定するには、naa-resources.yaml の CloudFormation テンプレートで CronScheduleExpression パラメータを変更します。たとえば、0 0 * * 0 のデフォルト値は、ソリューションを毎週日曜日の深夜0時に実行します。 の値は、ソリューションを毎月第 1 日曜日の午前 0 時に実行します。0 0 * 1-12 0cron 式の使用に関する詳細は、「Systems Manager のドキュメント」の「cron 式とrate 式」を参照してください。

NAA-Resources スタックのデプロイ後にスケジュールを調整したい場合は、/etc/cron.d/naa-schedule で cron スケジュールを手動で編集できます。

ツール

AWS のサービス

  • Amazon Elastic Compute Cloud (Amazon EC2) は、 AWS クラウドでスケーラブルなコンピューティング容量を提供します。仮想サーバーを必要な数だけ起動して、迅速にスケールアップまたはスケールダウンができます。

  • Amazon EventBridge は、アプリケーションをさまざまなソースのリアルタイムデータに接続できるようにするサーバーレスイベントバスサービスです。例えば、 AWS Lambda 関数、API 送信先を使用する HTTP 呼び出しエンドポイント、その他のイベントバスなどです AWS アカウント。

  • AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用を認可するかを制御することで、 AWS リソースへのアクセスを安全に管理するのに役立ちます。

  • AWS Organizations は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。

  • AWS Security Hub CSPM は、 のセキュリティ状態の包括的なビューを提供します AWS。また、セキュリティ業界標準とベストプラクティスに照らして AWS 環境を確認するのにも役立ちます。

  • Amazon Simple Notification Service (Amazon SNS)」は、ウェブサーバーやメールアドレスなど、パブリッシャーとクライアント間のメッセージの交換を調整および管理するのに役立ちます。

  • Amazon Simple Storage Service (Amazon S3) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。

  • AWS Systems Manager」は、 AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立ちます。これにより、アプリケーションとリソースの管理が簡素化され、運用上の問題を検出して解決する時間を短縮し、 AWS リソースを大規模に安全に管理できます。このパターンは、システムマネージャーの機能である「Session Manager」 を使用します。

コードリポジトリ

このパターンのコードは、GitHub 内の「Network Access Analyzer マルチアカウント分析」リポジトリで利用できます。コードリポジトリには、以下のファイルが含まれます。

  • naa-script.sh – この bash スクリプトは AWS アカウント、複数の Network Access Analyzer 分析を並行して開始するために使用されます。naa-resources.yaml の CloudFormation テンプレートで定義されているように、このスクリプトは Amazon EC2 インスタンスの /usr/local/naa フォルダに自動的にデプロイされます。

  • naa-resources.yaml – この CloudFormation テンプレートを使用して、組織のセキュリティアカウントにスタックを作成します。このテンプレートは、ソリューションをサポートするためにこのアカウントに必要なリソースをすべてデプロイします。このスタックは naa-execrole.yaml テンプレートの前にデプロイする必要があります。

    注記

    このスタックを削除して再デプロイした場合、IAM ロール間のクロスアカウント依存関係を再構築するために NAAExecRole スタックセットを再構築する必要があります。

  • naa-execrole.yaml – この CloudFormation テンプレートを使用して、管理アカウントを含む組織内のすべてのアカウントに NAAExecRole IAM ロールをデプロイするスタックセットを作成します。

  • naa-processfindings.pynaa-script.sh スクリプトは、この Python スクリプトを自動的に呼び出して Network Access Analyzer JSON 出力を処理し、naa-exclusions.csv ファイル内の既知の正常なリソースを除外してから、統合結果の CSV ファイルを生成するか、結果を Security Hub CSPM にインポートします。

エピック

タスク説明必要なスキル

コードリポジトリを複製します。

  1. コマンドラインインターフェースで、作業ディレクトリをサンプルファイルを保存する場所に変更します。

  2. 次のコマンドを入力します。

    git clone https://github.com/aws-samples/network-access-analyzer-multi-account-analysis.git

AWS DevOps

テンプレートを確認します。

  1. 複製されたリポジトリで、naa-resources.yaml ファイルと naa-execrole.yaml ファイルを開きます。

  2. これらのテンプレートにより、作成されたリソースを確認し、環境に合わせて必要に応じてテンプレートを調整してください。詳細については、CloudFormation ドキュメントの「テンプレートの使用」を参照してください。

  3. naa-resources.yaml ファイルと naa-execrole.yaml ファイルを保存して閉じます。

AWS DevOps
タスク説明必要なスキル

セキュリティアカウントにリソースをプロビジョニングします。

naa-resources.yaml テンプレートを使用して、セキュリティアカウントに必要なすべてのリソースをデプロイする CloudFormation スタックを作成します。手順については、「CloudFormation のドキュメント」の「スタックの作成」を参照してください。このテンプレートを展開する際には、次の点に注意してください。

  1. [テンプレートの指定] ページで [テンプレートの準備完了] を選択し、naa-resources.yaml ファイルをアップロードします。

  2. [スタック詳細の指定] ページで、[スタック名] ボックスに NAA-Resources と入力します。

  3. [パラメータ] セクションで、次の値を入力します。

    • VPCId — アカウント内の VPC を選択します。

    • SubnetId — インターネットにアクセスできる非公開サブネットを選択します。

      注記

      パブリックサブネットを選択した場合、CloudFormation テンプレートはデフォルトでは Elastic IP アドレスのプロビジョニングおよびアタッチを行わないため、Amazon EC2 インスタンスにはパブリック IP アドレスが割り当てられない場合があります。

    • InstanceType — デフォルトのインスタンスタイプはそのままにしておきます。

    • InstanceImageId — デフォルトのままにします。

    • KeyPairName — SSH を使用してアクセスする場合は、既存の[key pair]を指定します。

    • PermittedSSHInbound — SSH を使用してアクセスする場合は、許可された CIDR ブロックを指定します。SSH を使用していない場合は、127.0.0.1 のデフォルト値のままにします。

    • BucketName — デフォルト値は naa-<accountID>-<region> です。これは必要に応じて変更できます。カスタム値を指定すると、アカウント ID とリージョンが指定した値に自動的に追加されます。

    • EmailAddress — 分析が完了したときの Amazon SNS 通知用メールアドレスを指定します。

      注記

      Amazon SNS サブスクリプションの設定は、分析が完了する前に確認する必要があります。確認しないと、通知は送信されません。

    • NAAEC2Role — 命名規則により、この IAM ロールに別の名前を付ける必要がある場合以外、デフォルトのままにします。

    • NAAExecRolenaa-execrole.yaml のデプロイ時に別の名前が使用されない限り、デフォルトのままにします。

    • Parallelism — 実行するパラレル評価の数を指定します。

    • Regions – 分析 AWS リージョン する を指定します。

    • ScopeNameValue — スコープに割り当てるタグを指定します。このタグは、ネットワークアクセスの範囲を決定することに使用されます。

    • ExclusionFile — 除外ファイル名を指定します。このファイル内のエントリは検出結果から除外されます。

    • FindingsToCSV — 検出結果を CSV に出力するかを指定します。有効な値は、true および false です。

    • FindingsToSecurityHub – 検出結果を Security Hub CSPM にインポートするかどうかを指定します。有効な値は、true および false です。

    • EmailNotificationsForSecurityHub – Security Hub CSPM に結果をインポートして E メール通知を生成するかどうかを指定します。有効な値は、true および false です。

    • ScheduledAnalysis — ソリューションをスケジュールに従って自動的に実行させたい場合は、true を入力して、CronScheduleExpression パラメータにスケジュールをカスタマイズします。ソリューションを自動的に実行しない場合は、false を入力します。

    • CronScheduleExpression — ソリューションを自動的に実行する場合は、cron 式を入力してスケジュールを定義します。詳細については、このパターンの「アーキテクチャ」セクションにおける「自動化とスケール」を参照してください。

  1. [レビュー] ページで、[次のリソースには機能が必要: [AWS::IAM::ロール]]を選択後、[スタックの作成] を選択します。

  2. スタックが正常に作成されたら、CloudFormation コンソールの [出力] タブで、NAAEC2Role Amazon リソースネーム (ARN) をコピーします。この ARN は、後に naa-execrole.yaml ファイルをデプロイするときに使用します。

AWS DevOps

メンバーアカウントで IAM ロールをプロビジョニングします。

AWS Organizations 管理アカウントまたは CloudFormation の委任管理者権限を持つアカウントで、naa-execrole.yaml テンプレートを使用して CloudFormation スタックセットを作成します。スタックセットは、組織内のすべてのメンバーアカウントに NAAExecRole IAM ロールをデポロイします。手順については、CloudFormation ドキュメントの「サービスマネージド型のアクセス許可を持つスタックセットの作成」を参照してください。このテンプレートを展開する際には、次の点に注意してください。

  1. [テンプレートの準備][テンプレートの準備完了] を選択して、naa-execrole.yaml ファイルをアップロードします。

  2. [StackSet の詳細を指定] ページで、スタックセットに NAA-ExecRole という名前を付けます。

  3. [パラメータ] セクションで、次の値を入力します。

    • AuthorizedARNNAA-Resources スタックの作成時にコピーした NAAEC2Role ARN を入力します。

    • NAARoleNamenaa-resources.yaml ファイルのデプロイ時に別の名前を使用した場合を除き、NAAExecRole のデフォルト値のままにします。

  4. [アクセス権限] で、[Service-managed permissions (サービスマネージド型のアクセス許可)] を選択します。

  5. [デプロイオプションの設定] ページの [デプロイターゲット] で、[組織へのデプロイ] を選択し、すべてのデフォルトを受け入れます。

    注記

    スタックをすべてのメンバーアカウントに同時にデプロイする場合は、[同時アカウントの最大数][耐障害性] を、100 のような高い値に設定します。

  6. デプロイリージョンで、Network Access Analyzer の Amazon EC2 インスタンスをデプロイするリージョンを選択します。IAM リソースはグローバルであり、リージョナルではないため、IAM ロールはすべてのアクティブなリージョンにデプロイされます。

  7. レビューページで、 がカスタム名で IAM リソースを作成する AWS CloudFormation 可能性があることを確認してから、StackSet の作成を選択します。

  8. [スタックインスタンス] タブ (個々のアカウントのステータス) と [操作] タブ (全体的なステータス) を監視して、デプロイが完了したかを判断します。

AWS DevOps

管理アカウントで IAM ロールをプロビジョニングします。

naa-execrole.yaml テンプレートを使用して、組織の管理アカウントに NAAExecRole IAM ロールをデプロイする CloudFormation スタックを作成します。以前に作成したスタックセットでは、管理アカウントに IAM ロールはデプロイされません。手順については、「CloudFormation ドキュメント」の「スタックの作成」を参照してください。このテンプレートを展開する際には、次の点に注意してください。

  1. [テンプレートの指定] ページで [テンプレートの準備完了] を選択し、naa-execrole.yaml ファイルをアップロードします。

  2. [スタックの詳細を指定] ページで、[スタック名] ボックスに NAA-ExecRole と入力します。

  3. [パラメータ] セクションで、次の値を入力します。

    • AuthorizedARNNAA-Resources スタックの作成時にコピーした NAAEC2Role ARN を入力します。

    • NAARoleNamenaa-resources.yaml ファイルのデプロイ時に別の名前を使用した場合を除き、NAAExecRole のデフォルト値のままにします。

  4. [レビュー] ページで、[次のリソースには機能が必要: [AWS::IAM::ロール]]を選択後、[スタックの作成] を選択します。

AWS DevOps
タスク説明必要なスキル

シェルスクリプトをカスタマイズします。

  1. 組織のセキュリティアカウントにサインインします。

  2. Session Manager を使用して、以前にプロビジョニングした Network Access Analyzer の Amazon EC2 インスタンスに接続します。手順については、「Session Manager を使用して Linux インスタンスに接続」を参照してください。接続できない場合は、このパターンの「トラブルシューティング」セクションを参照してください。

  3. 次のコマンドを入力して naa-script.sh ファイルを開いて編集します。

    sudo -i
cd /usr/local/naa
vi naa-script.sh

  4. このスクリプト内の調整可能なパラメーターと変数を確認して、環境に応じて変更します。カスタマイズオプションの詳細については、スクリプトの冒頭におけるコメントを参照してください。

    たとえば、管理アカウントから組織内のすべてのメンバーアカウントのリストを取得する代わりに、スキャン AWS リージョン する AWS アカウント IDs または を指定するようにスクリプトを変更するか、これらのパラメータを含む外部ファイルを参照できます。

  5. naa-script.sh ファイルを保存して閉じます。

AWS DevOps

ターゲットアカウントを分析します。

  1. 次のコマンドを入力します。これにより naa-script.sh スクリプトが実行されます。

    sudo -i
cd /usr/local/naa
screen
./naa-script.sh

    次の点に注意してください。

    • この screen コマンドは、接続がタイムアウトになりまたはコンソールにアクセスできなくなった場合でも、スクリプトの実行を継続できるようにします。

    • スキャンの開始後、Ctrl+A D を押すことでスクリーンを強制的にデタッチすることができます。スクリーンをデタッチすると、分析の進行中にインスタンス接続を閉じることができます。

    • デタッチしたセッションを再開するには、インスタンスに接続し、sudo -i を押して、screen -r を押します。

  2. 出力をモニタリングしてエラーがないかを確認し、スクリプトが正しく動作していることを確認します。出力例については、このパターンの「追加情報」セクションを参照してください。

  3. 分析が完了するまで待ちます。E メール通知を設定した場合、結果が Amazon S3 バケットにアップロードされるか、Security Hub CSPM にインポートされると、E メールが送信されます。

AWS DevOps

オプション 1 – Amazon S3 バケットから結果を取得します。

  1. naa-<accountID>-<region> バケットから CSV ファイルをダウンロードします。手順については、「Amazon S3 のドキュメント」の「オブジェクトのダウンロード」を参照してください。

  2. Amazon S3 バケットから CSV ファイルを削除します。これはコスト最適化のベストプラクティスです。手順については、「Amazon S3 のドキュメント」の「オブジェクトの削除」を参照してください。

AWS DevOps

オプション 2 – Security Hub CSPM の結果を確認します。

  1. Security Hub CSPM コンソールを開きます。

  2. ナビゲーションペインで [検出結果] を選択します。

  3. Network Access Analyzerの検出結果を確認します。手順については、Security Hub CSPM ドキュメントの「検出結果リストと詳細の表示」を参照してください。

    注記

    検出結果は、フィルターにタイトル開始文字列を追加して Network Access Analyzer を入力することで検索できます。

AWS DevOps
タスク説明必要なスキル

検出結果を修正します。

組織の管理アカウントにIAMロールをデプロイするCloudFormationスタックを作成しました。 AWS ID、リソース、ネットワークの周囲に境界を作成する方法の詳細とベストプラクティスについては、「 でのデータ境界の構築 AWS (AWS ホワイトペーパー)」を参照してください。

AWS DevOps

ネットワークパスが正常であることがわかっているリソースを除きます。

Network Access Analyzer がインターネットからアクセスできるはずのリソースに関する検出結果を生成した場合、それらのリソースを除外リストに追加できます。今度、Network Access Analyzerを実行しても、そのリソースの検出結果は生成されません。

  1. /usr/local/naa に移動して naa-script.sh スクリプトを開きます。S3_EXCLUSION_FILE 変数の値をメモしておきます。

  2. S3_EXCLUSION_FILE 変数の値が true の場合、naa-exclusions.csv ファイルを naa-<accountID>-<region> バケットからダウンロードします。手順については、「Amazon S3 のドキュメント」の「オブジェクトのダウンロード」を参照してください。

    S3_EXCLUSION_FILE 変数の値が false の場合、/usr/local/naa に移動して、naa-exclusions.csv ファイルを開きます。

    注記

    S3_EXCLUSION_FILE 変数の値が false の場合、スクリプトは除外ファイルのローカルバージョンを使用します。後で値を true に変更すると、スクリプトはローカルバージョンを Amazon S3 バケット内のファイルで上書きします。

  3. naa-exclusions.csv ファイルに、除外しようとするリソースを入力します。1 行に 1 つのリソースを入力し、次の形式を使用します。

    <resource_id>,<secgroup_id>,<sgrule_cidr>,<sgrule_portrange>,<sgrule_protocol>

    以下に、リソースの例を示します。

    eni-1111aaaaa2222bbbb,sg-3333ccccc4444dddd,0.0.0.0/0,80 to 80,tcp

  4. naa-exclusions.csv ファイルを保存して閉じます。

  5. naa-exclusions.csv ファイルを Amazon S3 バケットからダウンロードした場合は、新しいバージョンをアップロードします。手順については、Amazon S3 ドキュメントの「オブジェクトのアップロード」を参照してください。

AWS DevOps
タスク説明必要なスキル

[naa-script.sh] スクリプトを更新します。

naa-script.sh スクリプトをリポジトリ内の最新バージョンに更新するには、次の操作を行います。

  1. Session Manager を使用して Amazon EC2 インスタンスに接続します。手順については、「Session Manager を使用して Linux インスタンスに接続」を参照してください。

  2. 次のコマンドを入力します。

    sudo -i

  3. naa-script.sh スクリプトのディレクトリに移動します。

    cd /usr/local/naa

  4. 次のコマンドを入力してローカルスクリプトを一時退避し、カスタム変更を最新バージョンに結合できるようにします。

    git stash

  5. スクリプトの最新バージョンを取得するには、以下のコマンドを入力します。

    git pull

  6. 次のコマンドを入力して、カスタムスクリプトを最新バージョンのスクリプトと結合します。

    git stash pop
AWS DevOps
タスク説明必要なスキル

デプロイされたリソースをすべて削除します。

リソースはアカウントにデプロイしたままにしておくことができます。

すべてのリソースのプロビジョニングを解除する場合は、以下のように実行します。

  1. 管理アカウントにプロビジョニングされた NAA-ExecRole スタックを削除します。手順については、「CloudFormation ドキュメント」の「スタックの削除」を参照してください。

  2. 組織の管理アカウントまたは委任された管理者アカウントにプロビジョニングされた スタックセットを削除します。手順については、「CloudFormation ドキュメント」の「スタックセットの削除」を参照してください。

  3. naa-<accountID>-<region> Amazon S3 バケットからすべてのオブジェクトを削除します。手順については、「Amazon S3 ドキュメント」の「オブジェクトの削除」を参照してください。

  4. セキュリティアカウントにプロビジョニングされた NAA-Resources スタックを削除します。手順については、「CloudFormation ドキュメント」の「スタックの削除」を参照してください。

AWS DevOps

トラブルシューティング

問題ソリューション

Session Manager を使用して Amazon EC2 インスタンスに接続できません。

SSM エージェントは、Systems Manager エンドポイントと通信できる必要があります。以下の操作を実行します。

  1. Amazon EC2 インスタンスがデプロイされているサブネットがインターネットにアクセスできることを検証します。

  2. Amazon EC2 インスタンスを再起動します。

スタックセットをデプロイすると、CloudFormation コンソールに Enable trusted access with AWS Organizations to use service-managed permissions を求めるメッセージが表示されます。

これは、 AWS Organizations と CloudFormation の間で信頼されたアクセスが有効になっていないことを示します。サービスマネージド型のスタックセットをデプロイするには、信頼されたアクセスが必要です。このボタンを選択すると、信頼されたアクセスは有効になります。詳細については、「CloudFormation ドキュメント」の「信頼されたアクセスの有効化」を参照してください。

関連リソース

追加情報

コンソール出力の例

次のサンプルは、ターゲットアカウントのリストを生成し、ターゲットアカウントを分析した出力を示しています。

[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa-<account ID>-us-east-1/naa-exclusions.csv to ./naa-exclusions.csv

AWS Management Account: <Management account ID>

AWS Accounts being processed...
<Account ID 1> <Account ID 2> <Account ID 3>

Assessing AWS Account: <Account ID 1>, using Role: NAAExecRole
Assessing AWS Account: <Account ID 2>, using Role: NAAExecRole
Assessing AWS Account: <Account ID 3>, using Role: NAAExecRole
Processing account: <Account ID 1> / Region: us-east-1
Account: <Account ID 1> / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: <Account ID 2> / Region: us-east-1
Account: <Account ID 2> / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: <Account ID 3> / Region: us-east-1
Account: <Account ID 3> / Region: us-east-1 – Detecting Network Analyzer scope...
Account: <Account ID 1> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 1> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: <Account ID 2> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 2> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: <Account ID 3> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 3> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour

CSV レポートの例

以下の画像は CSV 出力の例です。

このソリューションにより生成された CSV レポートの例 1。
このソリューションにより生成された CSV レポートの例 2。