AWS Security Hub の AWS Foundational Security Best Practices (FSBP) で [SSM.7] SSM documents should have the block public sharing setting enabled という警告が出ていた👀
SSM.7 とは
[SSM.7] SSM documents should have the block public sharing setting enabled と書いてある通り,AWS Systems Manager ドキュメントの「パブリック共有設定をブロック」が無効化されていると警告が出る🚨
数ヶ月前にはなかったような気がして確認したところ,2025年7月15日に追加された比較的最近のコントロールだった💡
For the AWS FSBP standard, IDs for the applicable controls are: CloudFront.15, Cognito.2, EC2.180, ELB.18, MSK.4, MSK.5, MSK.6, RDS.45, Redshift.18, S3.25, SSM.6, and SSM.7.
修復する(マネジメントコンソール)
マネジメントコンソールで修復する場合は AWS Systems Manager ドキュメント → 詳細設定 → パブリック共有設定をブロック を有効化すれば OK👌
修復する(AWS CLI)
AWS CLI で修復する場合は aws ssm update-service-setting コマンドを実行すれば OK👌
$ aws ssm update-service-setting \ --setting-id /ssm/documents/console/public-sharing-permission \ --setting-value Disable \ --region 'ap-northeast-1'
修復する(Terraform)
Terraform で修復する場合は aws_ssm_service_setting を使えば OK👌
resource "aws_ssm_service_setting" "psp" { setting_id = "/ssm/documents/console/public-sharing-permission" setting_value = "Disable" }
修復する(AWS CloudFormation / AWS CDK)
調べた限りだと,現時点では AWS CloudFormation / AWS CDK ではサポートされていなさそうだった🙅♂️AWS CloudFormation Public Coverage Roadmap にも特に issue はなかった.今後アップデートはありそうだし待ってみよう.
修復確認
AWS Systems Manager ドキュメントの「パブリック共有設定をブロック」を有効化したら [SSM.7] SSM documents should have the block public sharing setting enabled は PASSED になった👏
