AWSクラウドコンポーネントとオファリングがサードパーティのベンダーによって所有・管理されるベンダー操作のサービスの場合、ペネトレーションテストはクラウド環境の実装と構成に制限され、内部インフラは対象外です。EC2はAWSサービスなので、一部を除き基本的にペネトレーションテストが実施できます。
AWS EC2インスタンスでは、ペネトレーションテストが許可されるのは下記の領域に限定されます。

• アプリケーションプログラミングインターフェース（API）　※例：HTTP/HTTPS
• 組織がホストするWebおよびモバイルアプリケーション
• アプリケーションサーバーおよび関連スタック　※例：Python、Reactなどのプログラミング言語
• 仮想マシンおよびオペレーティングシステム

AWS内のほとんどのオファリングは、ユーザーが環境を所有していないため法的および技術的な制約があり、ペネトレーションテストを実施できません。これは、インフラストラクチャの提供モデルであるインフラストラクチャとしてのサービス（IaaS）モデルではなく、ソフトウェアとしてのサービス（SaaS）モデルに基づいているためです。 ペネトレーションテストが実施できないものは下記の通りです。

• AWSに属するサービスまたはアプリケーション
• AWSに属する物理ハードウェア、基礎インフラストラクチャ、または施設
• 他の組織（パートナーやベンダーなど）に属するEC2環境
• 他のベンダーが許可なしに管理するセキュリティアプライアンス（ファイアウォールなどセキュリティ機能に特化した機器）
• Amazonの小規模またはマイクロレベルの関係データベースサービス（RDS）

Amazon Web Services（AWS）は、さまざまなシステムやアプリケーションをクラウドインフラストラクチャに保有し、ビジネスを支援しています。また、外部インフラストラクチャに対するいくつかの組み込みセキュリティ機能も提供していますが、内部インフラストラクチャのセキュリティ対策はAWSを利用する企業に完全に任されています。 時間、人材、資金の浪費を避け、ペネトレーションテストを確実に実施するには、計画を立て、目標とルールを決め、適切なペネトレーションテストの方法を選択することが重要です。

AWS（Amazon Web Services）は設定、構成、ログイン情報、ユーザー権限まで、技術スタック（効率的なツールの組み合わせ）は他のクラウドサービスと全く異なります。 AWSアーキテクチャは強力なAPIから構成されています。AWSエコシステムに深く統合されているため、弊社のチームは、下記のようなAWS固有のミス構成をテストします。

• EC2インスタンスおよびアプリケーションの悪用
• AWS IAMキーのターゲット化および侵害
• S3バケットの構成と許可の欠陥のテスト
• ラムダバックドア機能を介したプライベートクラウドアクセスの確立
• CloudTrailログを難読化してトラックをカバー