Security Hub 제어 대상 AWS Config - AWS Security Hub
[Config.1] AWS Config 을 활성화하고 리소스 기록에 서비스 연결 역할을 사용해야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub 제어 대상 AWS Config

이러한 Security Hub 컨트롤은 AWS Config 서비스와 리소스를 평가합니다.

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[Config.1] AWS Config 을 활성화하고 리소스 기록에 서비스 연결 역할을 사용해야 합니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/2.5, 파운데이션 벤치마크 v1.4.0/3.5, CIS AWS 파운데이션 벤치마크 v3.0.0/3.3, NIST .800-53.r5 CM-3, CIS AWS .800-53.r5 CM-8, .800-53.r5 CM-8 (2), v3.2.1/10.5.2, v3.2.2.2.2, NIST v3.2.2.2.11.5 NIST NIST PCI DSS PCI DSS

범주: 식별 > 인벤토리

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)

스케줄 유형: 주기적

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

includeConfigServiceLinkedRoleCheck

매개 변수가 로 설정된 경우 컨트롤은 서비스 연결 역할의 AWS Config 사용 여부를 평가하지 않습니다. false

true 또는 false

true

이 AWS Config 컨트롤은 현재 계정에서 활성화되어 있는지 확인하고 AWS 리전, 현재 지역에서 활성화된 컨트롤에 해당하는 모든 리소스를 기록하고, 서비스 AWS Config 연결 역할을 사용합니다. 서비스 연결 역할을 사용하지 않고 includeConfigServiceLinkedRoleCheck 매개 변수를 로 설정하지 않으면 리소스를 정확하게 기록하는 데 false 필요한 권한이 다른 역할에 없을 수 있으므로 제어가 실패합니다. AWS Config

이 AWS Config 서비스는 계정에서 지원되는 AWS 리소스의 구성 관리를 수행하고 사용자에게 로그 파일을 제공합니다. 기록되는 정보에는 구성 항목 (AWS 리소스), 구성 항목 간의 관계, 리소스 내의 모든 구성 변경 사항이 포함됩니다. 글로벌 리소스는 모든 지역에서 사용할 수 있는 리소스입니다.

컨트롤은 다음과 같이 평가됩니다.

  • 현재 지역이 집계 지역으로 설정된 경우, 컨트롤은 AWS Identity and Access Management (IAM) 글로벌 리소스가 기록된 경우에만 PASSED 결과를 생성합니다 (필요한 컨트롤을 활성화한 경우).

  • 현재 지역이 연결된 지역으로 설정된 경우 컨트롤은 IAM 글로벌 리소스가 기록되는지 여부를 평가하지 않습니다.

  • 현재 지역이 애그리게이터에 없거나 계정에 지역 간 집계가 설정되어 있지 않은 경우, 컨트롤은 IAM 글로벌 리소스가 기록되는 경우에만 PASSED 결과를 생성합니다 (필요한 컨트롤을 활성화한 경우).

에서 리소스 상태 변경에 대한 일일 기록을 선택하든 연속 기록을 선택하든 제어 결과는 영향을 받지 않습니다. AWS Config하지만 새 컨트롤을 자동으로 사용하도록 구성했거나 새 컨트롤을 자동으로 사용하도록 설정하는 중앙 구성 정책이 있는 경우 새 컨트롤이 출시되면 이 컨트롤의 결과가 변경될 수 있습니다. 이러한 경우 모든 리소스를 기록하지 않으면 새 컨트롤과 연결된 리소스에 대한 기록을 구성해야 PASSED 검색 결과를 받을 수 있습니다.

Security Hub 보안 검사는 모든 AWS Config 지역에서 활성화하고 이를 필요로 하는 컨트롤에 대해 리소스 기록을 구성한 경우에만 의도한 대로 작동합니다.

참고

Config.1을 사용하려면 Security Hub를 사용하는 모든 지역에서 사용하도록 설정해야 합니다. AWS Config

Security Hub는 지역 서비스이므로 이 컨트롤에 대해 수행된 검사는 계정의 현재 지역만 평가합니다.

지역의 IAM 글로벌 리소스에 대한 보안 검사를 허용하려면 해당 지역의 IAM 글로벌 리소스를 기록해야 합니다. IAM글로벌 리소스가 기록되지 않은 지역에는 글로벌 리소스를 확인하는 IAM 컨트롤에 대한 기본 PASSED 검색 결과가 제공됩니다. IAM글로벌 리소스는 전체적으로 AWS 리전동일하므로 홈 지역에만 IAM 글로벌 리소스를 기록하는 것이 좋습니다 (계정에서 지역 간 집계가 활성화된 경우). IAM리소스는 글로벌 리소스 기록이 켜진 지역에서만 기록됩니다.

AWS Config 지원하는 IAM 전 세계적으로 기록된 리소스 유형은 IAM 사용자, 그룹, 역할 및 고객 관리형 정책입니다. 글로벌 리소스 기록이 해제된 리전에서 이러한 리소스 유형을 검사하는 Security Hub 제어를 비활성화하는 것을 고려할 수 있습니다. 자세한 내용은 Security Hub에서 비활성화하도록 권장되는 제어 기능 단원을 참조하십시오.

이제 Security Hub가 와 통합되었습니다

각 컨트롤에 대해 기록해야 하는 리소스 목록은 을 참조하십시오Security Hub 제어 결과를 생성하는 데 필요한 AWS Config 리소스.

애그리게이터에 속하지 않는 홈 지역 및 지역에는 글로벌 리소스가 필요한 컨트롤을 활성화한 경우 IAM 글로벌 리소스를 포함하여 현재 지역에서 활성화된 컨트롤에 필요한 IAM 모든 리소스를 기록하세요.

현재 지역에서 활성화된 컨트롤에 해당하는 모든 리소스를 기록하기만 하면 연결된 지역에서는 모든 AWS Config 녹화 모드를 사용할 수 있습니다. 연결 지역에서 IAM 글로벌 리소스 기록이 필요한 통제를 활성화한 경우 FAILED 검색 결과를 받을 수 없습니다 (다른 리소스에 대한 기록이면 충분합니다).

리소스를 기록하도록 AWS Config 활성화하고 구성하려면 AWS Config 개발자 안내서의 AWS Config 콘솔로 설정을 참조하십시오. AWS CloudFormation 템플릿을 사용하여 이 프로세스를 자동화할 수도 있습니다. 자세한 내용은 AWS CloudFormation 사용 설명서의 AWS CloudFormation StackSets 샘플 템플릿을 참조하십시오.