Amazon Config 控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Config 控件

这些控制措施与 Amazon Config 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录

相关要求:独联体 Amazon 基金会基准 v1.2.0/2.5、CIS 基金会基准 v1.4.0/3.5、CIS Amazon 基金会基准 v3.0.0/3.3、nist.800-53.r5 CM-3、nist.800-53.r5 CM-6 (1)、nist.800-53.r5 CM-8 (2)、PCI Amazon DSS v3.2.r5 (2) 1/10.5.2,PCI DSS v3.2.1/11.5

类别:识别 > 清单

严重性:

资源类型:AWS::::Account

Amazon Config 规则:无(自定义 Security Hub 规则)

计划类型:定期

参数:

此控件检查您的账户当前 Amazon Config 是否已启用 Amazon Web Services 区域,记录与当前区域中启用的控件对应的所有资源,并使用服务相关 Amazon Config 角色。如果您不使用服务相关角色,则控制将失败,因为其他角色可能不具备准确记录您的资源的必要权限。 Amazon Config

该 Amazon Config 服务对您的账户中支持的 Amazon 资源执行配置管理,并向您提供日志文件。记录的信息包括配置项目(Amazon 资源)、配置项目之间的关系以及资源中的任何配置更改。全球资源是指任何地区都可用的资源。

该控件的评估方式如下:

  • 如果将当前区域设置为聚合区域,则只有在记录 Amazon Identity and Access Management (IAM) 全球资源时(如果您启用了需要这些资源的控件),控件才会生成PASSED调查结果。

  • 如果将当前区域设置为关联区域,则该控件不会评估是否记录了 IAM 全球资源。

  • 如果当前区域不在您的聚合器中,或者您的账户中未设置跨区域聚合,则该控件仅在记录 IAM 全球资源时才会生成PASSED调查结果(如果您启用了需要这些资源的控件)。

控制结果不受您选择每天还是连续记录资源状态变化的影响 Amazon Config。但是,如果您配置了自动启用新控件或具有自动启用新控件的中央配置策略,则在发布新控件时,此控件的结果可能会发生变化。在这些情况下,如果您不记录所有资源,则必须为与新控件关联的资源配置录制才能收到PASSED调查结果。

Security Hub 安全检查只有 Amazon Config 在所有区域中启用并针对需要它的控件配置资源记录时,才能按预期运行。

注意

Config.1 要求 Amazon Config 在您使用 Security Hub 的所有区域中启用该功能。

由于 Security Hub 是一项区域服务,因此对该控件执行的检查仅评估账户的当前区域。

要允许对某个区域中的 IAM 全球资源进行安全检查,您必须记录该区域的 IAM 全球资源。未记录 IAM 全球资源的地区将收到用于检查 IAM 全球资源的控制的默认PASSED结果。由于 IAM 全球资源各不相同 Amazon Web Services 区域,因此我们建议您仅在本地区记录 IAM 全球资源(如果您的账户中启用了跨区域聚合)。IAM 资源将仅记录在已开启全球资源记录的区域。

Amazon Config 支持的 IAM 全球记录资源类型包括 IAM 用户、群组、角色和客户托管策略。您可以考虑在关闭全局资源记录的区域禁用用于检查这些资源类型的 Security Hub 控件。有关更多信息,请参阅 您可能想要禁用的 Security Hub 控件

修复

有关必须为每个控件记录哪些资源的列表,请参阅Amazon Config 生成控制结果所需的资源

在主区域和不属于聚合器的区域中,记录当前区域中启用的控件所需的所有资源,包括 IAM 全球资源(如果您启用了需要 IAM 全球资源的控件)。

在关联的区域中,只要您 Amazon Config 录制的是与当前区域中启用的控件相对应的所有资源,您就可以使用任何录制模式。在关联区域中,如果您启用了需要记录 IAM 全球资源的控件,则不会收到FAILED调查结果(您记录的其他资源就足够了)。

要启用 Amazon Config 和配置它以记录资源,请参阅Amazon Config 开发者指南》中的控制台设置 Amazon Config。您也可以使用 Amazon CloudFormation 模板来自动执行此过程。有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的Amazon CloudFormation StackSets 示例模板