<h2 id="%E5%B0%8E%E5%85%A5" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E5%B0%8E%E5%85%A5" aria-hidden="true"></a> 導入</h2>
<h3 id="%E8%83%8C%E6%99%AF%E3%83%BB%E7%9B%AE%E7%9A%84" data-line="2" class="code-line">
<a class="header-anchor-link" href="#%E8%83%8C%E6%99%AF%E3%83%BB%E7%9B%AE%E7%9A%84" aria-hidden="true"></a> 背景・目的</h3>
<ul data-line="4" class="code-line">
<li data-line="4" class="code-line">2025年3月11日のアップデートにより、Allowed AMI の機能がAWS Config と統合されました。</li>
<li data-line="5" class="code-line">今までは、許可されていないAMIの検出向けにConfigカスタムルールを作成する必要があったのですが、ConfigマネージドルールによってAMI監査を実装できるようになりました。</li>
<li data-line="6" class="code-line">Allowed AMI の監査モードとConfigマネージドルールを組み合わせたAMI監査について、実際に試してみます。</li>
</ul>
<h3 id="%E5%AF%BE%E8%B1%A1%E8%AA%AD%E8%80%85" data-line="8" class="code-line">
<a class="header-anchor-link" href="#%E5%AF%BE%E8%B1%A1%E8%AA%AD%E8%80%85" aria-hidden="true"></a> 対象読者</h3>
<ul data-line="10" class="code-line">
<li data-line="10" class="code-line">本記事は、AWS 認定ソリューションアーキテクト - アソシエイトレベルの知識を持つ読者を想定しており、AWSサービスの基本的な解説は省略します。</li>
</ul>
<h2 id="allowed-ami%E3%81%AE%E7%9B%A3%E6%9F%BB%E3%83%A2%E3%83%BC%E3%83%89%E6%9C%89%E5%8A%B9%E5%8C%96" data-line="12" class="code-line">
<a class="header-anchor-link" href="#allowed-ami%E3%81%AE%E7%9B%A3%E6%9F%BB%E3%83%A2%E3%83%BC%E3%83%89%E6%9C%89%E5%8A%B9%E5%8C%96" aria-hidden="true"></a> Allowed AMIの監査モード有効化</h2>
まずは、Allowed AMI の監査モードを有効化します。
AWSコンソールからEC2ダッシュボードにアクセスして、Allowed AMIsの設定を有効化します。
Allowed AMIs settingsに<code>Audit mode</code>を選択したうえで、自分自身のAWSアカウントで作成されたAMIのみを許可対象として定義します。 
<img src="https://storage.googleapis.com/zenn-user-upload/b3ff825b579f-20250325.png" loading="lazy" class="md-img">
設定後にAMIコンソール画面へアクセスし、パブリックイメージのAmazon Linuxを検索・表示したところ、Allowed imageカラムがNoと表示されていることを確認しました。 
<img src="https://storage.googleapis.com/zenn-user-upload/cf781fe3fa55-20250325.png" loading="lazy" class="md-img">
<h2 id="config%E3%81%AE%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%89%E3%83%AB%E3%83%BC%E3%83%AB%E8%A8%AD%E5%AE%9A" data-line="24" class="code-line">
<a class="header-anchor-link" href="#config%E3%81%AE%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%89%E3%83%AB%E3%83%BC%E3%83%AB%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> Configのマネージドルール設定</h2>
次に、Configのマネージドルールを設定していきます。
AWSコンソールから<code>AWS Config</code> &gt; <code>ルール</code> 画面に遷移して、<code>ルールを追加</code>ボタンをクリックします。
マネージド型ルールの中から、<code>ec2-instance-launched-with-allowed-ami</code>を選択します。
<img src="https://storage.googleapis.com/zenn-user-upload/c986267a8e8f-20250325.png" loading="lazy" class="md-img">
今回はデフォルト設定のまま作成しました。 
<img src="https://storage.googleapis.com/zenn-user-upload/940692572adb-20250325.png" loading="lazy" class="md-img">
<h2 id="%E5%8B%95%E4%BD%9C%E6%A4%9C%E8%A8%BC" data-line="37" class="code-line">
<a class="header-anchor-link" href="#%E5%8B%95%E4%BD%9C%E6%A4%9C%E8%A8%BC" aria-hidden="true"></a> 動作検証</h2>
それでは、Allowed AMI の監査モードとConfigマネージドルールの動作を検証してみましょう。
CDKを用いて、Allowed AMIに含まれないAMI(AmazonLinux2023)でEC2インスタンスを起動してみます。
<div class="code-block-container"><pre class="language-tsx"><code class="language-tsx code-line" data-line="43"> new ec2.Instance(this, "MyInstance", {
 vpc: networking.vpc,
 instanceType: ec2.InstanceType.of(ec2.InstanceClass.BURSTABLE3, ec2.InstanceSize.MICRO),
 machineImage: ec2.MachineImage.latestAmazonLinux2023(),
 vpcSubnets: { subnetType: ec2.SubnetType.PRIVATE_WITH_EGRESS },
 })
</code></pre></div>インスタンス起動後にConfigルールを確認すると、コンプライアンス非準拠になっていました。 
<img src="https://storage.googleapis.com/zenn-user-upload/f0f107d58c6c-20250325.png" loading="lazy" class="md-img">
次に、Allowed AMIsの設定画面に戻り、許可するImageProvidersとしてamazonを追加してみます。
設定変更後にConfigルールを再評価すると、コンプライアンス準拠になっていました。 
<img src="https://storage.googleapis.com/zenn-user-upload/68b5e2829ec6-20250325.png" loading="lazy" class="md-img">
<h2 id="%E6%89%80%E6%84%9F" data-line="60" class="code-line">
<a class="header-anchor-link" href="#%E6%89%80%E6%84%9F" aria-hidden="true"></a> 所感</h2>
監査モードとConfigマネージドルールとを組み合わせることで、インスタンス起動時に利用されるAMIの監査の仕組みを容易に実装することができました。
Allowed AMIsの設定を厳格化して許可されたAMI以外でのEC2起動を禁止する前に、本アップデートの内容でお試ししてみるのが良さそうです。
<h2 id="%E5%8F%82%E8%80%83" data-line="66" class="code-line">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83" aria-hidden="true"></a> 参考</h2>
<iframe id="zenn-embedded__2a209deb87c34" src="https://embed.zenn.studio/card#zenn-embedded__2a209deb87c34" data-content="https%3A%2F%2Faws.amazon.com%2Fjp%2Fabout-aws%2Fwhats-new%2F2025%2F03%2Famazon-ec2-allowed-amis-integrates-aws-config%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://aws.amazon.com/jp/about-aws/whats-new/2025/03/amazon-ec2-allowed-amis-integrates-aws-config/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://aws.amazon.com/jp/about-aws/whats-new/2025/03/amazon-ec2-allowed-amis-integrates-aws-config/</a>
<iframe id="zenn-embedded__c37964dae2d72" src="https://embed.zenn.studio/card#zenn-embedded__c37964dae2d72" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fconfig%2Flatest%2Fdeveloperguide%2Fec2-instance-launched-with-allowed-ami.html" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html</a>
<iframe id="zenn-embedded__c6c7005f3d1be" src="https://embed.zenn.studio/card#zenn-embedded__c6c7005f3d1be" data-content="https%3A%2F%2Faws.amazon.com%2Fjp%2Fabout-aws%2Fwhats-new%2F2024%2F12%2Famazon-ec2-allowed-amis-enhance-ami-governance%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://aws.amazon.com/jp/about-aws/whats-new/2024/12/amazon-ec2-allowed-amis-enhance-ami-governance/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://aws.amazon.com/jp/about-aws/whats-new/2024/12/amazon-ec2-allowed-amis-enhance-ami-governance/</a>
<iframe id="zenn-embedded__6ccbfad2eb397" src="https://embed.zenn.studio/card#zenn-embedded__6ccbfad2eb397" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2FAWSEC2%2Flatest%2FUserGuide%2Fec2-allowed-amis.html" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html</a>
<h2 id="%E6%B3%A8%E6%84%8F%E4%BA%8B%E9%A0%85" data-line="76" class="code-line">
<a class="header-anchor-link" href="#%E6%B3%A8%E6%84%8F%E4%BA%8B%E9%A0%85" aria-hidden="true"></a> 注意事項</h2>
<ul data-line="77" class="code-line">
<li data-line="77" class="code-line">本記事は万全を期して作成していますが、お気づきの点がありましたら、ご連絡よろしくお願いします。</li>
<li data-line="78" class="code-line">なお、本記事の内容を利用した結果及び影響について、筆者は一切の責任を負いませんので、予めご了承ください。</li>
</ul>

AWSアップデート Configを用いたAMIの監査

Discussion