本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Service Catalog 的 Security Hub 控件
这些 AWS Security Hub 控件评估 AWS Service Catalog 服务和资源。
这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性。
[ServiceCatalog.1] Service Catalog 产品组合应在 AWS 仅限组织
相关要求: NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7
类别:保护 > 安全访问管理
严重性:高
资源类型:AWS::ServiceCatalog::Portfolio
AWS Config 规则:service-catalog-shared-within-organization
计划类型:已触发变更
参数:无
此控件检查是否 AWS Service Catalog 与之整合时,在组织内共享投资组合 AWS Organizations 已启用。如果组织内部不共享产品组合,则控制失败。
仅在 Organizations 内部共享作品集有助于确保共享的作品集不会与不正确的人共享 AWS 账户。 要与组织中的账户共享服务目录组合,Security Hub 建议使用ORGANIZATION_MEMBER_ACCOUNT
代替ACCOUNT
。这通过管理整个组织内授予账户的访问权限来简化管理。如果您有业务需要与外部账户共享 Service Catalog 产品组合,则可以自动隐藏或禁用此控件的结果。
修复
要启用与 Organizations 共享投资组合,请参阅共享给 AWS Organizations在 S ervice Catalog 管理员指南中