本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Config 控件
这些控制措施与 Amazon Config 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
Amazon Config 应启用 [Config.1]
相关要求:PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/11.5、CIS 基金会基准 v1.2.0/2.5、CIS Amazon 基金会基准 v1.4.0/3.5、nist.800-53.r5 CM-3、nist.800-53.r5 CM-6 (1)、nist.800-53.r5 CM-8、nist.800-53.r5 CM-8、nist.800-53.r5 CM-8、nist.800-53.r5 C Amazon M-8 M-8 (2)
类别:识别 > 清单
严重性:中
资源类型:AWS::::Account
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
此控件会检查您在当前区域的账户中 Amazon Config 是否已启用,并且正在记录所有资源。如果未启用或 Amazon Config 未记录所有资源,则控件将失败。
该 Amazon Config 服务对您的账户中支持的 Amazon 资源执行配置管理,并向您提供日志文件。记录的信息包括配置项目(Amazon 资源)、配置项目之间的关系以及资源之间的任何配置更改。
Security Hub 建议您在所有区域 Amazon Config 中启用。 Amazon Config 捕获的 Amazon 配置项目历史记录支持安全分析、资源变更跟踪和合规性审计。
注意
Config.1 要求 Amazon Config 在您使用 Security Hub 的所有区域中启用该功能。
由于 Security Hub 是一项区域性服务,因此,针对此控制执行的检查仅检查账户的当前区域。它不会检查所有区域。
要允许针对每个区域中的全局资源进行安全检查,您还必须记录全局资源。如果您仅在一个区域中记录全局资源,则可以在所有区域(记录全局资源的区域除外)中禁用此控件。
Amazon Config 支持的全球记录资源类型包括 IAM 用户、群组、角色和客户托管策略。您可以考虑在关闭全局资源记录的区域禁用用于检查这些资源类型的 Security Hub 控件。由于 IAM 是一项全球服务,因此 IAM 资源将仅记录在开启全局资源记录的区域。有关更多信息,请参阅 您可能想要禁用的 Security Hub 控件。
修复
要启用 Amazon Config 并配置它以记录所有资源,请参阅Amazon Config 开发人员指南中的手动设置。要记录全局资源并确保不排除任何资源类型,请选择具有可自定义替代项的所有资源。移除所有 “覆盖” 设置,并将录制频率设置为 “连续录制”。
您也可以使用 Amazon CloudFormation 模板来自动执行此过程。有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的Amazon CloudFormation StackSets 示例模板。