本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的 Security Hub CSPM 控制項 AWS Config
<a name="config-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS Config 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄
<a name="config-1"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/3.3、CIS AWS Foundations Benchmark v1.2.0/2.5、CIS AWS Foundations Benchmark v1.4.0/3.5、CIS AWS Foundations Benchmark v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCI DSS v3.2.1/10.5.2、PCI v3.2.1/1.5.5

**類別：**識別 > 清查

**嚴重性：**嚴重

**資源類型：** `AWS::::Account`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  如果 參數設定為 ，則控制項不會評估 是否 AWS Config 使用服務連結角色`false`。  |  Boolean  |  `true` 或 `false` \$1  |  `true`  | 

此控制項 AWS Config 會檢查您的帳戶是否在目前的 中啟用 AWS 區域、記錄與目前區域中啟用的控制項對應的所有資源，並使用 [服務連結 AWS Config 角色](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)。服務連結角色的名稱為 **AWSServiceRoleForConfig**。如果您不使用服務連結角色，且未將 `includeConfigServiceLinkedRoleCheck` 參數設定為 `false`，則控制項會失敗，因為其他角色可能沒有必要許可 AWS Config 讓 準確記錄您的資源。

 AWS Config 此服務會對您帳戶中支援 AWS 的資源執行組態管理，並交付日誌檔案給您。記錄的資訊包括組態項目 (AWS 資源）、組態項目之間的關係，以及資源內的任何組態變更。全域資源是可在任何區域中使用的資源。

控制項的評估方式如下：
+ 如果目前區域設定為[彙總區域](finding-aggregation.md)，則控制項只會在記錄 AWS Identity and Access Management (IAM) 全域資源時產生`PASSED`調查結果 （如果您已啟用需要它們的控制項）。
+ 如果目前區域設定為連結的區域，則控制項不會評估是否記錄 IAM 全域資源。
+ 如果目前區域不在彙總工具中，或您的帳戶中未設定跨區域彙總，則只有在記錄 IAM 全域資源時 （如果您已啟用需要它們的控制項），控制項才會產生`PASSED`調查結果。

無論您選擇每日還是持續記錄資源狀態的變更，控制結果都不會受到影響 AWS Config。不過，如果您已設定自動啟用新控制項，或具有自動啟用新控制項的中央組態政策，則發佈新控制項時，此控制項的結果可能會變更。在這些情況下，如果您未記錄所有資源，您必須為與新控制項相關聯的資源設定記錄，才能接收`PASSED`問題清單。

Security Hub CSPM 安全檢查只有在您在 AWS Config 所有區域中啟用 並為需要它的控制項設定資源記錄時，才能如預期運作。

**注意**  
Config.1 AWS Config 要求在您使用 Security Hub CSPM 的所有區域中啟用 。  
由於 Security Hub CSPM 是區域服務，因此針對此控制項執行的檢查只會評估帳戶的目前區域。  
若要允許對區域中的 IAM 全域資源進行安全檢查，您必須在該區域中記錄 IAM 全域資源。未記錄 IAM 全域資源的區域會收到檢查 IAM 全域資源之控制項的預設`PASSED`調查結果。由於 IAM 全域資源在各個區域之間都是相同的 AWS 區域，因此我們建議您僅在主要區域 （如果您的帳戶中啟用了跨區域彙總） 中記錄 IAM 全域資源。IAM 資源只會記錄在開啟全域資源記錄的區域中。  
 AWS Config 支援的 IAM 全域記錄資源類型是 IAM 使用者、群組、角色和客戶受管政策。您可以考慮停用 Security Hub CSPM 控制項，在關閉全域資源記錄的區域中檢查這些資源類型。如需詳細資訊，請參閱[在 Security Hub CSPM 中停用的建議控制項](controls-to-disable.md)。

### 修補
<a name="config-1-remediation"></a>

在不屬於彙總工具的主區域和區域中，記錄目前區域中啟用之控制項所需的所有資源，如果您已啟用需要 IAM 全域資源的控制項，則包括 IAM 全域資源。

在連結的區域中，只要您要記錄與目前區域中啟用的控制項對應的所有資源，就可以使用任何 AWS Config 錄製模式。在連結區域中，如果您已啟用需要記錄 IAM 全域資源的控制項，則不會收到`FAILED`調查結果 （其他資源的記錄就足夠）。

問題清單`Compliance`物件中的 `StatusReasons` 欄位可協助您判斷為什麼此控制項的問題清單失敗。如需詳細資訊，請參閱[控制問題清單的合規詳細資訊](controls-findings-create-update.md#control-findings-asff-compliance)。

如需每個控制項必須記錄哪些資源的清單，請參閱 [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)。如需啟用 AWS Config 和設定資源錄製的一般資訊，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。