에 대한 Security Hub 제어 AWS Config - AWS Security Hub
[Config.1]을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 AWS Config 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 Security Hub 제어 AWS Config

이러한 Security Hub 제어는 AWS Config 서비스와 리소스를 평가합니다.

이러한 제어 기능을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[Config.1]을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 AWS Config 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIST.800-53.r5 CM-3, NIST.800-53.r5 CM-6(1), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5

범주: 식별 > 인벤토리

심각도: 심각

리소스 유형: AWS::::Account

AWS Config 규칙: 없음(사용자 지정 Security Hub 규칙)

스케줄 유형: 주기적

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

includeConfigServiceLinkedRoleCheck

파라미터가 로 설정된 경우 제어는가 서비스 연결 역할을 AWS Config 사용하는지 여부를 평가하지 않습니다false.

true 또는 false

true

이 제어 AWS Config 는 현재의 계정에서가 활성화되어 있는지 확인하고 AWS 리전, 현재 리전에서 활성화된 제어에 해당하는 모든 리소스를 기록하고, 서비스 연결 AWS Config 역할을 사용합니다. 서비스 연결 역할의 이름은 입니다AWSServiceRoleForConfig. 서비스 연결 역할을 사용하지 않고 includeConfigServiceLinkedRoleCheck 파라미터를 로 설정하지 않으면 다른 역할에 리소스를 정확하게 기록 AWS Config 하는 데 필요한 권한이 없을 수 있으므로 false제어가 실패합니다.

AWS Config 서비스는 계정에서 지원되는 AWS 리소스의 구성 관리를 수행하고 로그 파일을 전달합니다. 기록된 정보에는 구성 항목(AWS 리소스), 구성 항목 간의 관계, 리소스 내 구성 변경 사항이 포함됩니다. 글로벌 리소스는 모든 리전에서 사용할 수 있는 리소스입니다.

컨트롤은 다음과 같이 평가됩니다.

  • 현재 리전이 집계 리전으로 설정된 경우 제어는 AWS Identity and Access Management (IAM) 글로벌 리소스가 기록된 경우에만 PASSED 결과를 생성합니다(필요한 제어를 활성화한 경우).

  • 현재 리전이 연결된 리전으로 설정된 경우 제어는 IAM 글로벌 리소스가 기록되는지 여부를 평가하지 않습니다.

  • 현재 리전이 애그리게이터에 없거나 교차 리전 집계가 계정에 설정되지 않은 경우, 글로벌 IAM 리소스가 기록되는 경우에만(필요한 제어를 활성화한 경우) 제어가 PASSED 결과를 생성합니다.

제어 결과는 AWS Config에서 리소스 상태의 변화에 대한 일일 또는 지속적 레코딩을 선택하든 영향을 받지 않습니다. 하지만 새로운 제어의 자동 활성화를 구성했거나 새로운 제어를 자동으로 활성화하는 중앙 구성 정책이 있는 경우, 새로운 제어가 릴리스될 때 이 제어의 결과가 변경될 수 있습니다. 이러한 경우 모든 리소스를 기록하지 않는 경우, PASSED 조사 결과를 받으려면 새로운 제어와 연결된 리소스에 대한 레코딩을 구성해야 합니다.

Security Hub 보안 검사는 모든 리전 AWS Config 에서를 활성화하고 필요한 제어에 대한 리소스 기록을 구성하는 경우에만 의도한 대로 작동합니다.

참고

Config.1에서는 Security Hub를 사용하는 모든 리전에서 AWS Config 가 활성화되어 있어야 합니다.

Security Hub는 리전별 서비스이므로 이 제어에 대해 수행된 확인에서는 계정에 대한 현재 리전만 확인합니다.

리전의 IAM 글로벌 리소스에 대한 보안 검사를 허용하려면 해당 리전의 IAM 글로벌 리소스를 기록해야 합니다. IAM 글로벌 리소스가 기록되지 않은 리전은 IAM 글로벌 리소스를 확인하는 제어에 대한 기본 PASSED 결과를 받게 됩니다. IAM 글로벌 리소스는 전체적으로 동일하므로 홈 리전(계정에서 리전 간 집계가 활성화된 경우)에만 IAM 글로벌 리소스를 기록하는 AWS 리전것이 좋습니다. IAM 리소스는 글로벌 리소스 기록이 활성화된 리전에만 기록됩니다.

에서 AWS Config 지원하는 IAM 전역적으로 기록된 리소스 유형은 IAM 사용자, 그룹, 역할 및 고객 관리형 정책입니다. 글로벌 리소스 레코딩이 해제된 리전에서 이러한 리소스 유형을 검사하는 Security Hub 제어를 비활성화하는 것을 고려할 수 있습니다. 자세한 내용은 Security Hub에서 비활성화할 때 권장되는 제어 섹션을 참조하세요.

문제 해결

홈 리전 및 집계자의 일부가 아닌 리전에서 IAM 글로벌 리소스가 필요한 제어를 활성화한 경우 IAM 글로벌 리소스를 포함하여 현재 리전에서 활성화된 제어에 필요한 모든 리소스를 기록합니다.

연결된 리전에서는 현재 리전에서 활성화된 컨트롤에 해당하는 모든 리소스를 AWS Config 기록하는 한 모든 기록 모드를 사용할 수 있습니다. 연결된 리전에서 IAM 글로벌 리소스의 기록이 필요한 제어를 활성화한 경우 FAILED 조사 결과를 받지 못합니다(다른 리소스의 기록으로 충분함).

결과 Compliance 객체의 StatusReasons 필드는이 제어에 실패한 결과가 있는 이유를 결정하는 데 도움이 될 수 있습니다. 자세한 내용은 제어 결과에 대한 규정 준수 세부 정보 단원을 참조하십시오.

각 제어에 대해 기록해야 하는 리소스 목록은 Security Hub 제어 조사 결과에 필요한 AWS Config 리소스 섹션을 참조하세요. 리소스 레코딩 활성화 AWS Config 및 구성에 대한 일반적인 내용은 섹션을 참조하세요Security Hub AWS Config 에 대해 활성화 및 구성.