本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub CSPM 控件适用于 Amazon Config
这些 Security Hub CSPM 控件用于评估Amazon Config服务和资源。
这些控件可能并非全部可用Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录
相关要求:独联体Amazon基金会基准 v5.0.0/3.3、CIS 基金会基准 v1.2.0/2.5、CIS Amazon 基金会基准 v1.4.0/3.5、CIS 基金会基准 v3.0.0/3.3、nist.800-53.r5 C Amazon M-3、nist.800-53.r5 C Amazon M-8、nist.800-53.r5 CM-8 (2))、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/11.5
类别:识别 > 清单
严重性:严重
资源类型:AWS::::Account
Amazon Config规则:无(自定义 Security Hub CSPM 规则)
计划类型:定期
参数:
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
|---|---|---|---|---|
|
|
如果参数设置为,则控件不会评估是否Amazon Config使用服务相关角色。 |
布尔值 |
|
|
此控件检查您的账户当前Amazon Config是否已启用Amazon Web Services 区域,记录与当前区域中启用的控件对应的所有资源,并使用服务相关Amazon Config角色。服务相关角色的名称是AWSServiceRoleForConfig。如果您不使用服务相关角色且未将includeConfigServiceLinkedRoleCheck参数设置为false,则控制失败,因为其他角色可能不具备准确记录您的资源的必要权限。Amazon Config
该Amazon Config服务对您的账户中支持的Amazon资源执行配置管理,并向您提供日志文件。记录的信息包括配置项目(Amazon资源)、配置项目之间的关系以及资源中的任何配置更改。全局资源是指在任何区域中都可用的资源。
控件评估方式如下:
如果将当前区域设置为聚合区域,则只有在记录 Amazon Identity and Access Management (IAM) 全球资源时(如果您启用了需要这些资源的控件),控件才会生成
PASSED调查结果。如果将当前区域设置为关联区域,则此控件不会评估是否记录了 IAM 全局资源。
如果当前区域不在您的聚合器中,或者您的账户中未设置跨区域聚合,则此控件仅在记录了 IAM 全局资源(如果您启用了需要这些资源的控件)时,才会生成
PASSED调查发现。
无论您选择每天还是连续记录 Amazon Config 中资源状态的变化,都不会影响控件的结果。但是,如果您配置了自动启用新控件或具有自动启用新控件的中心配置策略,则在发布新控件时,此控件的结果可能会发生变化。在这些情况下,如果您没有记录所有资源,则必须配置与新控件关联的资源记录才能获得 PASSED 调查发现。
Security Hub CSPM 安全检查只有Amazon Config在所有区域中启用并针对需要它的控制配置资源记录时,才能按预期运行。
注意
Config.1 要求Amazon Config在您使用 Security Hub CSPM 的所有区域中启用该功能。
由于 Security Hub CSPM 是一项区域服务,因此对该控件执行的检查仅评估账户的当前区域。
要允许针对每个区域中的 IAM 全局资源进行安全检查,您还必须记录该区域中的 IAM 全局资源。未记录 IAM 全局资源的区域将收到用于检查 IAM 全局资源的控件的默认 PASSED 调查发现。由于 IAM 全球资源各不相同Amazon Web Services 区域,因此我们建议您仅在本地区记录 IAM 全球资源(如果您的账户中启用了跨区域聚合)。IAM 资源将仅记录在已开启全局资源记录的区域中。
Amazon Config支持的 IAM 全球记录资源类型包括 IAM 用户、群组、角色和客户托管策略。您可以考虑在关闭全局资源记录的区域禁用用于检查这些资源类型的 Security Hub CSPM 控件。有关更多信息,请参阅 建议在 Security Hub CSPM 中禁用的控件。
修复
在主区域和不属于聚合器的区域中,请记录当前区域中启用的控件所需的所有资源,包括 IAM 全局资源(如果您启用了需要 IAM 全局资源的控件)。
在关联的区域中,只要您Amazon Config录制的是与当前区域中启用的控件相对应的所有资源,您就可以使用任何录制模式。在关联区域中,如果您启用了需要记录 IAM 全局资源的控件,则不会收到 FAILED 调查发现(您对其他资源的记录就已足够)。
调查发现的 Compliance 对象中的 StatusReasons 字段可帮助您确定此控件具有失败的调查发现的原因。有关更多信息,请参阅 控件调查发现的合规性详细信息。
有关必须为每个控件记录哪些资源的列表,请参阅控制结果所需的Amazon Config资源。有关启用Amazon Config和配置资源记录的一般信息,请参阅为 Security Hub CSPM 启用和配置 Amazon Config。