的 Security Hub 控制項 AWS Config - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的 Security Hub 控制項 AWS Config

這些 Security Hub 控制項會評估 AWS Config 服務和資源。

這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性

【Config.1】 AWS Config 應啟用,並使用服務連結角色進行資源記錄

相關要求:CIS AWS Foundations Benchmark v1.2.0/2.5、CIS AWS Foundations Benchmark v1.4.0/3.5、CIS AWS Foundations Benchmark v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/1.5

類別:識別 > 清查

嚴重性:嚴重

資源類型: AWS::::Account

AWS Config rule:None (自訂 Security Hub 規則)

排程類型:定期

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

includeConfigServiceLinkedRoleCheck

如果 參數設定為 ,控制項不會評估 是否 AWS Config 使用服務連結角色false

Boolean

truefalse *

true

此控制項會檢查您的帳戶是否在目前中 AWS Config 啟用 AWS 區域、記錄與目前區域中啟用的控制項對應的所有資源,並使用服務連結 AWS Config 角色。服務連結角色的名稱為 AWSServiceRoleForConfig。如果您不使用服務連結角色,且未將 includeConfigServiceLinkedRoleCheck 參數設定為 false,則控制項會失敗,因為其他角色可能沒有必要許可 AWS Config ,無法準確記錄您的 資源。

AWS Config 服務會執行您帳戶中支援 AWS 之資源的組態管理,並將日誌檔案交付給您。記錄的資訊包括組態項目 (AWS 資源)、組態項目之間的關係,以及資源內的任何組態變更。全域資源是可在任何區域中使用的資源。

控制項的評估方式如下:

  • 如果目前區域設定為彙總區域,則只有在記錄 AWS Identity and Access Management (IAM) 全域資源時 (如果您已啟用需要它們的控制項),控制項才會產生PASSED調查結果。

  • 如果目前區域設定為連結的區域,則控制項不會評估是否記錄 IAM 全域資源。

  • 如果目前區域不在您的彙總工具中,或者您的帳戶中未設定跨區域彙總,則只有在記錄 IAM 全域資源時 (如果您已啟用需要它們的控制項),控制項才會產生PASSED調查結果。

無論您選擇每日還是持續記錄資源狀態的變更,控制結果都不會受到影響 AWS Config。不過,如果您已設定自動啟用新控制項,或具有自動啟用新控制項的中央組態政策,則此控制項的結果可能會在新控制項發佈時變更。在這些情況下,如果您未記錄所有資源,您必須為與新控制項相關聯的資源設定記錄,才能接收PASSED問題清單。

只有在您在 AWS Config 所有區域中啟用 ,並為需要它的控制項設定資源記錄時,Security Hub 安全檢查才會如預期運作。

注意

Config.1 AWS Config 要求在您使用 Security Hub 的所有區域中啟用 。

由於 Security Hub 是區域性服務,因此針對此控制項執行的檢查只會評估帳戶的目前區域。

若要允許對區域中的 IAM 全域資源進行安全檢查,您必須在該區域中記錄 IAM 全域資源。未記錄 IAM 全域資源的區域,會收到檢查 IAM 全域資源之控制項的預設PASSED調查結果。由於 IAM 全域資源在各個區域之間都相同 AWS 區域,我們建議您僅在主要區域記錄 IAM 全域資源 (如果您的帳戶已啟用跨區域彙總)。IAM 資源只會記錄在開啟全域資源記錄的區域中。

AWS Config 支援的 IAM 全域記錄資源類型是 IAM 使用者、群組、角色和客戶受管政策。您可以考慮停用 Security Hub 控制項,在關閉全域資源記錄的區域中檢查這些資源類型。如需詳細資訊,請參閱在 Security Hub 中停用的建議控制項

修補

在不屬於彙總工具的主區域和區域中,記錄目前區域中啟用之控制項所需的所有資源,如果您已啟用需要 IAM 全域資源的控制項,則包括 IAM 全域資源。

在連結的區域中,只要您要記錄與目前區域中啟用的控制項對應的所有資源,就可以使用任何 AWS Config 錄製模式。在連結區域中,如果您已啟用需要記錄 IAM 全域資源的控制項,則不會收到FAILED調查結果 (其他資源的記錄就足夠了)。

問題清單Compliance物件中的 StatusReasons 欄位可協助您判斷為什麼此控制項的問題清單失敗。如需詳細資訊,請參閱控制問題清單的合規詳細資訊

如需每個控制項必須記錄哪些資源的清單,請參閱Security Hub 控制問題清單的必要 AWS Config 資源。如需啟用 AWS Config 和設定資源錄製的一般資訊,請參閱啟用和設定 AWS Config Security Hub