翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の Security Hub CSPM コントロール AWS Config
これらの Security Hub CSPM コントロールは、 AWS Config サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります
**関連する要件:** CIS AWS Foundations Benchmark v5.0.0/3.3、CIS AWS Foundations Benchmark v1.2.0/2.5、CIS AWS Foundations Benchmark v1.4.0/3.5、CIS AWS Foundations Benchmark v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/1.5
**カテゴリ:** 識別 > インベントリ
**重要度:** 非常事態
**リソースタイプ :** `AWS::::Account`
**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 定期的
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| `includeConfigServiceLinkedRoleCheck` | パラメータが に設定されている場合、コントロールは がサービスにリンクされたロール AWS Config を使用するかどうかを評価しません`false`。 | ブール値 | `true` 、、または `false` | `true` |
このコントロール AWS Config は、現在の のアカウントで が有効になっているかどうかをチェックし AWS リージョン、現在のリージョンで有効になっているコントロールに対応するすべてのリソースを記録し、[サービスにリンクされた AWS Config ロール](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)を使用します。サービスにリンクされたロールの名前は、**AWSServiceRoleForConfig** です。サービスにリンクされたロールを使用せず、 `includeConfigServiceLinkedRoleCheck`パラメータを に設定しない場合`false`、他のロールには AWS Config がリソースを正確に記録するために必要なアクセス許可がないため、コントロールは失敗します。
この AWS Config サービスは、アカウントでサポートされている AWS リソースの設定管理を実行し、ログファイルをユーザーに配信します。記録された情報には、設定項目 (AWS リソース)、設定項目間の関係、リソース内の設定変更が含まれます。グローバルリソースは、どのリージョンでも利用できるリソースです。
コントロールは次のように評価されます。
+ 現在のリージョンが[集約リージョン](finding-aggregation.md)として設定されている場合、コントロールは AWS Identity and Access Management (IAM) グローバルリソースが記録されている (それらを必要とするコントロールを有効にしている場合) 場合にのみ`PASSED`結果を生成します。
+ 現在のリージョンがリンクされたリージョンとして設定されている場合、コントロールは IAM グローバルリソースが記録されているかどうかを評価しません。
+ 現在のリージョンがアグリゲータにない場合、またはクロスリージョン集約がアカウントで設定されていない場合、コントロールは IAM グローバルリソースが記録されている (それらを必要とするコントロールを有効にしている場合) 場合にのみ `PASSED` 検出結果を生成します。
コントロールの結果は、 AWS Configでリソースの状態の変化を毎日記録するか、継続的に記録するかにかかわらず、影響を受けません。ただし、新しいコントロールの自動有効化を設定している場合、または新しいコントロールを自動的に有効にする中央設定ポリシーがある場合、新しいコントロールがリリースされると、このコントロールの結果が変わる可能性があります。このような場合、すべてのリソースを記録しない場合は、`PASSED` 検出結果を受け取るために新しいコントロールに関連付けられているリソースの記録を設定する必要があります。
Security Hub CSPM セキュリティチェックは、すべてのリージョン AWS Config で を有効にし、それを必要とするコントロールのリソース記録を設定する場合にのみ、意図したとおりに機能します。
**注記**
Config.1 では AWS Config 、Security Hub CSPM を使用するすべてのリージョンで が有効になっている必要があります。
Security Hub CSPM はリージョン別サービスであるため、このコントロールに対して実行されるチェックでは、アカウントの現在のリージョンのみが評価されます。
グローバルリソースに対するセキュリティチェックをリージョンで許可するには、そのリージョン内の IAM グローバルリソースを記録する必要があります。IAM グローバルリソースが記録されていないリージョンには、IAM グローバルリソースをチェックするコントロールのデフォルトの `PASSED` 検出結果が送信されます。IAM グローバルリソースは 間で同じであるため AWS リージョン、IAM グローバルリソースはホームリージョンのみに記録することをお勧めします (クロスリージョン集約がアカウントで有効になっている場合)。IAM リソースはグローバルリソース記録が有効になっているリージョンでのみ記録されます。
AWS Config がサポートする IAM グローバルに記録されたリソースタイプは、IAM ユーザー、グループ、ロール、カスタマー管理ポリシーです。グローバルリソース記録がオフになっているリージョンで、これらのリソースタイプをチェックする Security Hub CSPM コントロールを無効にすることを検討できます。詳細については、「[Security Hub CSPM で無効化を推奨するコントロール](controls-to-disable.md)」を参照してください。
### 修正
ホームリージョンとアグリゲータの一部ではないリージョンでは、IAM グローバルリソースを必要とするコントロールを有効にしている場合は、IAM グローバルリソースを含め、現在のリージョンで有効になっているコントロールに必要なすべてのリソースを記録します。
リンクされたリージョンでは、現在のリージョンで有効になっているコントロールに対応するすべてのリソースを記録する限り、任意の記録 AWS Config モードを使用できます。リンクされたリージョンで、IAM グローバルリソースの記録を必要とするコントロールを有効にしている場合、`FAILED` 検出結果を受け取ることはできません (他のリソースの記録で十分です)。
検出結果の `Compliance` オブジェクトの `StatusReasons` フィールドは、このコントロールの検出結果に失敗した理由を特定するのに役立ちます。詳細については、「[コントロールの検出結果のコンプライアンスの詳細](controls-findings-create-update.md#control-findings-asff-compliance)」を参照してください。
コントロールごとに記録する必要があるリソースのリストについては、「[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)」を参照してください。リソース記録の有効化 AWS Config と設定に関する一般的な情報については、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。