任意の AWS リソースへの、または AWS リソースからの侵入テストの承認をリクエストするには、AWS 脆弱性/侵入テストリクエストフォームに必要事項を記入して、送信してください。侵入テストのリクエストに関して注意すべき複数の重要事項があります。

• すべての侵入テストに許可が必要です。
• 許可をリクエストするには、テストを希望するインスタンスに関連付けられているルート認証情報を使用して、AWS ポータルにログインする必要があります。これを行わないと、フォームが正しく事前入力されません。サードパーティにテストの実施を依頼する場合は、フォームに必要事項を記入して、AWS から承認が下りた時点でサードパーティに通知する必要があります。AWS では、サードパーティのテスト企業は承認されません。

• AWS のポリシーでは、以下のリソースに対するテストのみが許可されます。
  • EC2
  • RDS
  • Aurora
  • CloudFront
  • API ゲートウェイ
  • Lambda
  • Lightsail
  • DNS Zone Walking
• 現時点において、当社のポリシーでは、スモール RDS インスタンスまたはマイクロ RDS インスタンスのテストは許可されていません。m1.small、t1.micro、または t2.nano の EC2 インスタンスのテストは許可されていません。これは、他のお客様と共有する可能性のあるリソースのパフォーマンスに悪影響が及ぶ可能性を未然に防ぐためです。

フォームには、テストを希望するインスタンスに関する情報と、テストの開始および終了の予定日時を記入して、送信していただく必要があります。また、侵入テスト、およびテストで使用する適切なツールに関する利用規約を読み、それに同意していただく必要があります。終了日は開始日から 90 日以内にする必要があります。

このプロセスの一環としてお客様が AWS と共有する情報は、AWS 内で機密保持されます。お客様の許可なしにそれがサードパーティと共有されることはありません。

AWS では、最長で 2 営業日以内に、リクエストの内容を確認し、お客様に返信します。リクエストが承認されると、お客様に承認番号が送信されます。お客様にお伺いしたいことがある場合は、ご質問させていただきます。再確認事項が多いとこのプロセスが遅れる可能性がありますので、十分に計画し、最初のリクエストでできるだけ詳細な情報を提供してください。

脆弱性テストと侵入テストの承認プロセスに関してご質問がある場合は、aws-security-cust-pen-test@amazon.com まで E メールでご連絡ください。