マネージドサービス部 佐竹です。
本日はちょっとしたお知らせブログになります。
はじめに
Amazon マシンイメージ (AMI) を「パブリックイメージ」として共有することを予め防止する「ブロックパブリックアクセス(BPA)」は2023年9月13日にリリースされました。
上記が AWS 公式のアナウンスです。
弊社ブログでは以下でご紹介しております。
本設定は AMI で「ゴールデンイメージ」を作成したあと、それを自社のその他の AWS アカウントに共有する場合に重宝する機能でした*1。
AMI 共有時には一般的に AWS アカウント ID を指定して共有します*2。AWS Organizations を利用する場合は組織 ID もしくは OU ID を指定することも可能です。
しかし、誤った設定を行った結果、特定の AWS アカウントへの共有ではなく「Public」つまり全世界に公開されてしまうという事故も後を絶ちませんでした。
Public にしてしまうと、その AMI が全ての AWS アカウントから参照可能となってしまいます。例えば、自社の人事給与システムが構築された EC2 インスタンスのバックアップ AMI 等が全世界に公開され、さらに第三者に持ち出されてしまうようなことになれば大事故です。
本機能は、この操作/設定を誤った「Public」状態での AMI 共有を防止する、セキュリティ向上のための機能となっています。
AMI ブロックパブリックアクセスのデフォルト設定が更新
本機能は先月リリースされたばかりではありますが、2023年10月16日から「全ての AWS アカウント」の「全てのリージョン」において、デフォルト「有効」となるよう、順次変更が開始されるとのアナウンスがメールで一斉通知されました。
以下がその通知メールの本文です。
[アクションが必要な場合があります] AMI ブロックパブリックアクセスのデフォルト設定が更新されました
Amazon マシンイメージブロックパブリックアクセス (AMI BPA) は、2023 年 10 月 16 日からすべての AWS リージョンでデフォルトで有効になることをお知らせします。AMI BPA は、AWS アカウントが AWS リージョン内で AMI をパブリックに共有することを制限する新しい設定です。現在、この設定はすべての AWS アカウントでデフォルトで無効になっています。
2023 年 10 月 16 日から、AWS は AMI BPA のデフォルト設定を有効に変更し始めます。AWS リージョンでデフォルト設定が適用されると、すべての新しい AWS アカウントで AMI BPA がデフォルトで有効になります。この設定は、2023 年 7 月 15 日以降 AMI をパブリックに共有していない既存のアカウントでも有効になります。この変更は、パブリック AMI を保有する既存の AWS アカウントには影響しません。
AMI をパブリックに共有する必要があるユースケースがある場合は、デフォルトが適用された後に作成された新しいアカウント、および 2023 年 7 月 15 日以降に AMI をパブリックに共有していない既存のアカウントの AMI BPA を無効にする必要があります。AMI の公開共有を必要とするユースケースが現在ない場合は、アクションは必要ありません。
ポイントを以下に整理します。
2023年10月16日からデフォルトが「有効」となる
2023年10月16日から、現在のデフォルト設定「無効」が、デフォルト「有効」となります。対象は全ての AWS アカウント(新規・既存)、全ての AWS リージョンです。
これにより、誤ったオペレーション等で意図せず AMI がパブリックに公開されてしまうというリスクを大きく下げれることになります。セキュリティの観点からも、大いに歓迎したいデフォルトの設定変更になります。
なお、「2023年10月16日から設定を有効に変更し始める」とあるように、一度に全ての AWS アカウントが変更されるのではなく、順番に行われて行くようです。
10月12日現在、私の個人検証アカウントは「New public sharing allowed」となっており「無効」の状態でした。この設定が順次「New public sharing blocked」となって行くと想定されます。
既存のアカウントが共有設定をしている場合「有効」にならない
「2023年7月15日以降に AMI をパブリックに共有していない既存のアカウント」では先の通り AMI ブロックパブリックアクセスはデフォルト「有効」になります。
もし該当の AWS アカウントが2023年7月15日以降に AMI をパブリックに共有している場合は、本設定は自動的に有効化されません。もし自動的に有効化されてしまうと、現在の共有設定がオフになってしまい、業務に影響が出てしまう可能性があるためです。
このため現在意図的に AMI をパブリックに共有されている場合は、今回のデフォルト設定変更の影響を受けません。
今後は AMI のパブリック共有にワンアクション増える
今回の設定変更によって AMI ブロックパブリックアクセスが「有効」となった AWS アカウントにおいて、AMI をパブリックに公開する必要が出た場合は、今後は「AMI ブロックパブリックアクセスを無効」とする操作が事前に必要となります。
EC2 のマネジメントコンソールから設定変更を行う「Block public access for AMIs」については以下の AWS 公式ドキュメントも合わせてご参考ください。
まとめ
本ブログでは、AMI ブロックパブリックアクセスが2023年10月16日から「全ての AWS アカウント」の「全てのリージョン」において、デフォルト「有効」となるよう、順次変更が開始されるとのアナウンスがメールで一斉通知された件について記載しました。
本設定変更は AWS アカウントをよりセキュアに利用できるようになるため、大いに歓迎したいアップデートです。
ただし一部のアカウントでは業務に何らかの影響が出ると想像します。AMI を共有することが一般的な利用者各位は、念のため業務上の影響範囲を確認してください。
余談: S3 Block Public Access
なお、これに似た機能として「S3 Block Public Access」があります。
S3 の Block Public Access は AWS アカウント単位とバケット単位でそれぞれ保持しています。
このうちのバケット単位の「S3 Block Public Access」は2023年4月からデフォルト「有効」となりました。
Amazon S3 to automatically apply bucket security best practices for all new buckets
We are reaching out to inform you that starting in April 2023 Amazon S3 will change the default security configuration for all new S3 buckets. For new buckets created after this date, S3 Block Public Access will be enabled, and S3 access control lists (ACLs) will be disabled.
S3 Block Public Access の有効化は AWS Security Hub の点数にもポジティブなインパクトがあり、私はその点でも喜んだアップデートでした。
これらのように、AWS アカウントはますますデフォルトでセキュアになっています。これからもセキュリティ関連のアップデートには注目して行きたいですね。
特に AWS アカウント単位の S3 Block Public Access が早くデフォルトで有効になってほしいなと願っています。
では、またお会いしましょう。
*1:https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/sharingamis-intro.html
*2:https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/sharingamis-explicit.html
佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ
マネージドサービス部所属。AWS資格全冠。2010年1月からAWSを利用してきています。2021-2022 AWS Ambassadors/2023 Japan AWS Top Engineers/2020-2023 All Certifications Engineers。AWSのコスト削減、最適化を得意としています。
