本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

使用 AWS Config 規則執行安全性檢查

若要對環境的資源執行安全性檢查， AWS Security Hub 請使用標準規則或特定 AWS Config 規則所指定的步驟。某些規則由開發和管理 AWS Config。其他規則是 Security Hub 開發的自訂規則。

AWS Config Security Hub 用於控制項的規則稱為服務連結規則，因為這些規則是由 Security Hub 服務啟用和控制。

若要對這些 AWS Config 規則啟用檢查，您必須先 AWS Config 為帳號啟用，然後開啟所需資源的資源記錄功能。如需啟用的指示 AWS Config，請參閱設定 AWS Config 安 Security Hub。如需記錄所需資源的相關資訊，請參閱產生 AWS Config 資 Security Hub 控制項發現項目所需。

產生服務連結規則

對於使用 AWS Config 服務連結規則的每個控制項，Security Hub 會在您的 AWS 環境中建立必要規則的執行個體。

這些服務連結規則專屬於 Security Hub。即使已存在相同規則的其他執行個體，其仍會建立這些服務連結規則。服務連結規則會在原始規則名稱securityhub之前新增，並在規則名稱後新增一個唯一識別碼。例如，對於原始 AWS Config 受管規則vpc-flow-logs-enabled，服務連結規則名稱會類似securityhub-vpc-flow-logs-enabled-12345。

可用於評估控制項的 AWS Config 規則數目有限制。Security Hub 創建的自定義 AWS Config 規則不會計入該限制。即使您已經達到帳戶中受管規則的 AWS Config 限制，也可以啟用安全性標準。若要進一步了解 AWS Config 規則限制，請參閱AWS Config 開發人員指南中的服務限制。

檢視控制項 AWS Config 規則的詳細資訊

Security Hub 主控台的 [發現項目] 頁面、[見解] 頁面和 [整合] 頁面上的尋找項目詳細資料包含指向相關規則詳細資料的規 AWS Config 則連結。如需詳細資訊，請參閱檢閱尋找詳細資料和歷史記錄的說。

在控制項詳細資訊頁面上，發現項目清單的「調查」欄包含 AWS Config 規則詳細資訊的連結。如需詳細資訊，請參閱檢視尋找項目資源的 AWS Config 規則。

若要從尋找或控制詳細資訊導覽至 AWS Config 規則，您必須擁有所選帳戶中的相關IAM權限。

自訂規則不會在主控台上連結。如需自訂規則描述，請參閱Security Hub 控制項參考。從清單中選取控制項以查看其描述，包括 AWS Config 規則。