Elastic Beanstalk のセキュリティベストプラクティス

AWS Elastic Beanstalk では、お客様が独自のセキュリティポリシーを開発および実装するにあたって検討すべきいくつかのセキュリティ機能を提供しています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、絶対的な解決策ではなく、役に立つ情報としてお考えください。

Elastic Beanstalk のその他のセキュリティトピックについては、「AWS Elastic Beanstalk のセキュリティ」を参照してください。

予防的セキュリティのベストプラクティス

予防的セキュリティ管理では、インシデントが発生する前に防ぐことを試みます。

最小特権アクセスの実装

Elastic Beanstalk には、インスタンスプロファイル、サービスロール、および IAM ユーザー用の AWS Identity and Access Management (IAM) 管理ポリシーが用意されています。これらの管理ポリシーでは、環境とアプリケーションの正しいオペレーションに必要なすべてのアクセス権限を指定します。

アプリケーションで、管理ポリシーのすべてのアクセス権限が必要とは限りません。カスタマイズにより、環境のインスタンス、Elastic Beanstalk サービス、およびユーザーがタスクを実行するために必要なアクセス許可のみを付与できます。これは特に、ユーザーロールごとに異なるアクセス権限のニーズを持つユーザーポリシーに関連します。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。

プラットフォームを定期的に更新する

Elastic Beanstalk は、新しいプラットフォームバージョンを定期的にリリースして、すべてのプラットフォームを更新します。新しいプラットフォームバージョンでは、オペレーティングシステム、ランタイム、アプリケーションサーバー、ウェブサーバーの更新、Elastic Beanstalk コンポーネントの更新が提供されます。これらのプラットフォーム更新の多くには、重要なセキュリティ修正が含まれています。Elastic Beanstalk 環境が、サポートされているプラットフォームバージョン (通常はプラットフォームの最新バージョン) で実行されていることを確認してください。詳細については、「Elastic Beanstalk 環境のプラットフォームバージョンの更新」を参照してください。

環境のプラットフォームを最新の状態に保つ最も簡単な方法は、マネージドプラットフォーム更新を使用するように環境を設定することです。

環境インスタンスに IMDSv2 を適用する

Elastic Beanstalk 環境の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは、インスタンス上のコンポーネントである Instance Metadata Service (IMDS) を使用して、インスタンスメタデータに安全にアクセスします。IMDS は、IMDSv1 と IMDSv2 という 2 つのデータアクセス手法をサポートしています。IMDSv2 はセッション指向のリクエストを使用し、IMDS へのアクセス試行に利用される可能性があるいくつかのタイプの脆弱性を軽減します。IMDSv2 の利点の詳細については、EC2 Instance Metadata Service に多層防御を追加する拡張機能のページを参照してください。

IMDSv2 の方が安全性に優れているため、インスタンスには IMDSv2 を適用するようお勧めします。IMDSv2 を適用するには、アプリケーションのすべてのコンポーネントが IMDSv2 をサポートしていることを確認してから、IMDSv1 を無効にします。詳細については、「Elastic Beanstalk 環境のインスタンスでの IMDS の設定」を参照してください。

セキュリティ問題の検出ベストプラクティス

セキュリティコントロールの検出により、セキュリティ違反が発生した後に識別されます。セキュリティ上の脅威やインシデントの検出に役立ちます。

モニタリングを実装する

モニタリングは、Elastic Beanstalk ソリューションの信頼性、セキュリティ、可用性、パフォーマンスを維持するための重要な部分です。AWS では、AWS サービスをモニタリングするのに役立ついくつかのツールとサービスを提供しています。

以下は、モニタリングする項目のいくつかの例です。

Elastic Beanstalk の Amazon CloudWatch メトリクス – 主要な Elastic Beanstalk メトリクスとアプリケーションのカスタムメトリクスのアラームを設定します。詳細については、「「Amazon CloudWatch で Elastic Beanstalk を使用する」」を参照してください。
AWS CloudTrail エントリ – UpdateEnvironment や TerminateEnvironment など、可用性に影響する可能性があるアクションを追跡します。詳細については、「AWS CloudTrail を使用した Elastic Beanstalk API コールのログ記録」を参照してください。

の有効化AWS Config

AWS Config は、アカウントにある AWS リソースの設定詳細ビューを提供します。リソース間の関係、設定変更の履歴、関係と設定の時間的な変化を確認できます。

AWS Config を使用して、データコンプライアンスのリソース設定を評価するルールを定義できます。AWS Config ルールは、Elastic Beanstalk リソースの最適な設定を表します。リソースがルールに違反しており、非準拠としてフラグが付けられると、AWS Config は Amazon Simple Notification Service (Amazon SNS) トピックを使用してアラートを送信できます。詳細については、「による Elastic Beanstalk リソースの検索と追跡AWS Config」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

責任共有モデル

トラブルシューティング