检测
分析
确保Amazon Machine Image (AMI)不是在多个账户之间共享
媒介
描述
亚马逊建议谨慎使用共享AMI时他们不能保证其他账户持有人提供的数据的完整性。有关更多信息,请参见AWS文档。
引用:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html
修复
分享AMI允许其他AWS帐户访问AMI没有任何限制。分享只允许如果AMI没有加密。这可以在控制台更新,CLI或起程拓殖。
在AWS控制台,
- 打开Amazon EC2控制台。
- 在导航窗格中,选择ami。
- 在列表中选择您的AMI,然后选择行为,修改图片的权限。
- 检查是否与AMI多个AWS帐户。
在起程拓殖-
- 为每个aws_ami_launch_permission资源,删除任何额外account_id领域特定的图像。这将禁用访问外部的主要账户。
引用:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/cancel-sharing-an-AMI.html
https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/ami_launch_permission
政策细节
规则引用ID:
AC_AWS_0006
CSP:
AWS
修复可用:
没有
域:
基础设施安全
资源类别:
计算
资源类型:
弹性云计算(EC2)