本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub CSPM 控件适用于 AWS Config
<a name="config-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS Config 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
<a name="config-1"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.3、CIS 基金会基准 v1.2.0/2.5、CIS AWS 基金会基准 v1.4.0/3.5、CIS 基金会基准 v3.0.0/3.3、nist.800-53.r5 C AWS M-3、nist.800-53.r5 C AWS M-8、nist.800-53.r5 CM-8 (2))、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/11.5

**类别：**识别 > 清单

**严重性：**严重

**资源类型：**`AWS::::Account`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  如果参数设置为，则控件不会评估是否 AWS Config 使用服务相关角色。`false`  |  布尔值  |  `true` 或者 `false`  |  `true`  | 

此控件检查您的账户当前 AWS Config 是否已启用 AWS 区域，记录与当前区域中启用的控件对应的所有资源，并使用[服务相关 AWS Config 角色](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)。服务相关角色的名称是**AWSServiceRoleForConfig**。如果您不使用服务相关角色且未将`includeConfigServiceLinkedRoleCheck`参数设置为`false`，则控制失败，因为其他角色可能不具备准确记录您的资源的必要权限。 AWS Config 

该 AWS Config 服务对您的账户中支持的 AWS 资源执行配置管理，并向您提供日志文件。记录的信息包括配置项目（AWS 资源）、配置项目之间的关系以及资源中的任何配置更改。全局资源是指在任何区域中都可用的资源。

控件评估方式如下：
+ 如果将当前区域设置为[聚合区域](finding-aggregation.md)，则只有在记录 AWS Identity and Access Management (IAM) 全球资源时（如果您启用了需要这些资源的控件），控件才会生成`PASSED`调查结果。
+ 如果将当前区域设置为关联区域，则此控件不会评估是否记录了 IAM 全局资源。
+ 如果当前区域不在您的聚合器中，或者您的账户中未设置跨区域聚合，则此控件仅在记录了 IAM 全局资源（如果您启用了需要这些资源的控件）时，才会生成 `PASSED` 调查发现。

无论您选择每天还是连续记录 AWS Config中资源状态的变化，都不会影响控件的结果。但是，如果您配置了自动启用新控件或具有自动启用新控件的中心配置策略，则在发布新控件时，此控件的结果可能会发生变化。在这些情况下，如果您没有记录所有资源，则必须配置与新控件关联的资源记录才能获得 `PASSED` 调查发现。

Security Hub CSPM 安全检查只有 AWS Config 在所有区域中启用并针对需要它的控制配置资源记录时，才能按预期运行。

**注意**  
Config.1 要求 AWS Config 在您使用 Security Hub CSPM 的所有区域中启用该功能。  
由于 Security Hub CSPM 是一项区域服务，因此对该控件执行的检查仅评估账户的当前区域。  
要允许针对每个区域中的 IAM 全局资源进行安全检查，您还必须记录该区域中的 IAM 全局资源。未记录 IAM 全局资源的区域将收到用于检查 IAM 全局资源的控件的默认 `PASSED` 调查发现。由于 IAM 全球资源各不相同 AWS 区域，因此我们建议您仅在本地区记录 IAM 全球资源（如果您的账户中启用了跨区域聚合）。IAM 资源将仅记录在已开启全局资源记录的区域中。  
 AWS Config 支持的 IAM 全球记录资源类型包括 IAM 用户、群组、角色和客户托管策略。您可以考虑在关闭全局资源记录的区域禁用用于检查这些资源类型的 Security Hub CSPM 控件。有关更多信息，请参阅 [建议在 Security Hub CSPM 中禁用的控件](controls-to-disable.md)。

### 修复
<a name="config-1-remediation"></a>

在主区域和不属于聚合器的区域中，请记录当前区域中启用的控件所需的所有资源，包括 IAM 全局资源（如果您启用了需要 IAM 全局资源的控件）。

在关联的区域中，只要您 AWS Config 录制的是与当前区域中启用的控件相对应的所有资源，您就可以使用任何录制模式。在关联区域中，如果您启用了需要记录 IAM 全局资源的控件，则不会收到 `FAILED` 调查发现（您对其他资源的记录就已足够）。

调查发现的 `Compliance` 对象中的 `StatusReasons` 字段可帮助您确定此控件具有失败的调查发现的原因。有关更多信息，请参阅 [控件调查发现的合规性详细信息](controls-findings-create-update.md#control-findings-asff-compliance)。

有关必须为每个控件记录哪些资源的列表，请参阅[控制结果所需的 AWS Config 资源](controls-config-resources.md)。有关启用 AWS Config 和配置资源记录的一般信息，请参阅[为 Security Hub CSPM 启用和配置 AWS Config](securityhub-setup-prereqs.md)。