リリース前のペネトレーションテストは、サービス障害や情報漏洩を防ぐ有効な手段です。
擬似攻撃にあたるため、各クラウドサービスでの実施には、それぞれの規約を守って実施する必要があります。
ペネトレーションテストについて、AWS, Google Cloud, Azureについての規約をまとめてみました。

AWS

https://aws.amazon.com/jp/security/penetration-testing/

以下のサービスに対しては事前申請なしに実施可能。それ以外はAWSサポートに連携。

  • Amazon EC2 インスタンス、WAF、NATゲートウェイ、Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS AppSync
  • AWS Lambda 関数および Lambda Edge 関数
  • Amazon Lightsail リソース
  • Amazon Elastic Beanstalk 環境
  • Amazon Elastic Container Service
  • AWS Fargate
  • Amazon Elasticsearch
  • Amazon FSx
  • Amazon Transit Gateway
    S3 ホストアプリケーション (S3 バケットをターゲットにすることは厳に禁じられています)

以下については禁止。

  • Amazon Route 53 ホストゾーン経由の DNS ゾーンウォーキング
  • Route 53 経由の DNS ハイジャック
  • Route 53 経由の DNS ファーミング
  • サービス妨害 (DoS)、分散サービス妨害 (DDoS)、シミュレートされた DoS、シミュレートされた DDoS (これらは DDoS シミュレーションテストポリシーの対象です)
  • ポートフラッディング
  • プロトコルフラッディング
  • リクエストフラッディング (ログインリクエストフラッディング、API リクエストフラッディング)

DDoS以外のシミュレーションを実施する場合は、専用のフォームで申請が必要。

DDoSシミュレーションを実施する場合は、専用のフォームで申請が必要。

負荷テストについては、負荷テストポリシーを参照。

Google Cloud

https://cloud.google.com/terms/
https://cloud.google.com/terms/aup?sjid=8435584464271071471-NA
https://support.google.com/cloud/answer/6262505

とくに事前申請は求めていないが、以下については対象外。

ウイルスやワーム、トロイの木馬などの配布
スパムメール的なものの生成、配布

Azure

https://www.microsoft.com/en-us/msrc/pentest-rules-of-engagement

とくに事前申請は求めていないが、以下については対象外。

  • ScanningortestingassetsbelongingtoanyotherMicrosoftCloudcustomers.
  • Gainingaccesstoanydatathatisnotwhollyyourown.
  • Performinganykindofdenialofservicetesting.
  • PerformingnetworkintensivefuzzingagainstanyassetexceptyourAzureVirtualMachine
  • Performingautomatedtestingofservicesthatgeneratessignificantamountsoftraffic.
  • Deliberatelyaccessinganyothercustomer’sdata.
  • Movingbeyond“proofofconcept”reprostepsforinfrastructureexecutionissues(i.e.provingthat you have sysadmin access with SQLi is acceptable, running xp_cmdshell is not).
  • UsingourservicesinawaythatviolatestheAcceptableUsePolicy,assetforthintheMicrosoft Online Service Terms.
  • Attemptingphishingorothersocialengineeringattacksagainstouremployees.

まとめ

一見、AWSの規約がもっとも細かく厳しく見える反面、個人的には逆にクリアでわかりやすかったです。

2023/8/17現在のものです。規約は更新される可能性もあります。
また、許可されているものについても、専用の環境(AWSアカウントやGoogle Cloudプロジェクト)から実施されることをお勧めします。
意図しないところで規約違反を犯してしまいアカウント停止などになる可能性を鑑みたものです。
また、いずれのクラウドサービスでも、事前申請は「Not requiered」であって禁止ではないです。不安な場合は、クラウドベンダーやベンダーのパートナー企業に相談をしましょう。