翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Security Hub コントロール AWS Config
これらの Security Hub コントロールは、 AWS Config サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります
関連する要件: CIS AWS Foundations Benchmark v1.2.0/2.5、 CIS AWS Foundations Benchmark v1.4.0/3.5、 CIS AWS Foundations Benchmark v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCIDSSv3.2.1/10.5.2、PCIDSSv3.2.1/11.5
カテゴリ: 識別 > インベントリ
重要度: 非常事態
リソースタイプ : AWS::::Account
AWS Config ルール: なし (カスタム Security Hub ルール)
スケジュールタイプ : 定期的
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
パラメータが に設定されている場合、コントロールは がサービスにリンクされたロール AWS Config を使用するかどうかを評価しません |
ブール値 |
|
|
このコントロール AWS Config は、現在の のアカウントで が有効になっているかどうかをチェックし AWS リージョン、現在のリージョンで有効になっているコントロールに対応するすべてのリソースを記録し、サービスにリンクされた AWS Config ロールを使用します。サービスにリンクされたロールの名前は ですAWSServiceRoleForConfig。サービスにリンクされたロールを使用せず、 includeConfigServiceLinkedRoleCheckパラメータを に設定しない場合false、他のロールには AWS Config がリソースを正確に記録するために必要なアクセス許可がないため、コントロールは失敗します。
この AWS Config サービスは、アカウントでサポートされている AWS リソースの設定管理を実行し、ログファイルをユーザーに配信します。記録された情報には、設定項目 (AWS リソース)、設定項目間の関係、およびリソース内の設定変更が含まれます。グローバルリソースは、どのリージョンでも利用できるリソースです。
コントロールは次のように評価されます。
現在のリージョンが集約リージョンとして設定されている場合、コントロールは AWS Identity and Access Management (IAM) グローバルリソースが記録されている場合にのみ
PASSED結果を生成します (それらを必要とするコントロールを有効にしている場合)。現在のリージョンがリンクされたリージョンとして設定されている場合、コントロールはIAMグローバルリソースが記録されているかどうかを評価しません。
現在のリージョンがアグリゲータにない場合、またはクロスリージョン集約がアカウントで設定されていない場合、コントロールはIAMグローバルリソースが記録されている場合にのみ
PASSED結果を生成します (それらを必要とするコントロールを有効にしている場合)。
コントロールの結果は、 AWS Configでリソースの状態の変化を毎日記録するか、継続的に記録するかにかかわらず、影響を受けません。ただし、新しいコントロールの自動有効化を設定している場合、または新しいコントロールを自動的に有効にする中央設定ポリシーがある場合、新しいコントロールがリリースされると、このコントロールの結果が変わる可能性があります。このような場合、すべてのリソースを記録しない場合は、PASSED 検出結果を受け取るために新しいコントロールに関連付けられているリソースの記録を設定する必要があります。
Security Hub セキュリティチェックは、すべてのリージョン AWS Config で を有効にし、それを必要とするコントロールのリソース記録を設定する場合にのみ、意図したとおりに機能します。
注記
Config.1 では AWS Config 、Security Hub を使用するすべてのリージョンで が有効になっている必要があります。
Security Hub はリージョナルサービスであるため、このコントロールに対して実行されるチェックでは、アカウントの現在のリージョンのみが評価されます。
リージョンのグローバルIAMリソースに対するセキュリティチェックを許可するには、そのリージョンIAMのグローバルリソースを記録する必要があります。IAM グローバルリソースが記録されていないリージョンには、IAMグローバルリソースをチェックするコントロールのデフォルトのPASSED検出結果が送信されます。IAM グローバルリソースは 間で同じであるため AWS リージョン、IAMグローバルリソースはホームリージョン (アカウントでクロスリージョン集約が有効になっている場合) にのみ記録することをお勧めします。 IAM リソースは、グローバルリソース記録が有効になっているリージョンでのみ記録されます。
が AWS Config サポートするIAMグローバルに記録されたリソースタイプは、IAMユーザー、グループ、ロール、カスタマー管理ポリシーです。グローバルリソースの記録がオフになっているリージョンでは、これらのリソースタイプをチェックする Security Hub コントロールを無効にすることをお勧めします。詳細については、「Security Hub で無効化を推奨するコントロール」を参照してください。
修正
アグリゲータの一部ではないホームリージョンとリージョンで、現在のリージョンで有効になっているコントロールに必要なすべてのリソースを記録します。これには、IAMグローバルリソースを必要とするコントロールを有効にしている場合は、IAMグローバルリソースも含まれます。
リンクされたリージョンでは、現在のリージョンで有効になっているコントロールに対応するすべてのリソースを記録する限り、任意の AWS Config 記録モードを使用できます。リンクされたリージョンで、IAMグローバルリソースの記録を必要とするコントロールを有効にしている場合、FAILED検出結果を受け取ることはできません (他のリソースの記録で十分です)。
検出結果の Compliance オブジェクトの StatusReasonsフィールドは、このコントロールの検出結果に失敗した理由を特定するのに役立ちます。詳細については、「コントロールの検出結果のコンプライアンスの詳細」を参照してください。
コントロールごとに記録する必要があるリソースのリストについては、「Security Hub コントロールの検出結果に必要な AWS Config リソース」を参照してください。リソース記録の有効化 AWS Config と設定に関する一般的な情報については、「」を参照してくださいSecurity Hub AWS Config の有効化と設定。
