启用和配置Amazon Config - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用和配置Amazon Config

Amazon Security Hub使用服务相关Amazon Config规则来执行其大部分控件的安全性检查。

为了支持这些控制措施,Amazon Config必须在启用了 Security Hub 的每个区域中的所有账户(主账户和成员账户)上启用。Amazon Config必须配置为至少记录您已启用的标准所需的资源。

Security Hub 建议您在Amazon Config,然后才能启用 Security Hub 标准。如果 Security Hub 尝试在未启用资源记录时运行安全检查,则检查将返回错误。

Security Hub 不管理Amazon Config为您。如果您已有Amazon Config启用,则可以通过Amazon Config控制台或 API。

如果您启用Amazon Config启用标准后,Security Hub 仍会创建Amazon Config规则,但仅当启用Amazon Config在启用标准后 31 天内。如果不启用Amazon Config,则必须在启用后禁用并重新启用标准Amazon Config。

启用标准后,Security Hub 会尝试创建Amazon Config规则多达六次在 31 天。

  • 在当天启用标准的

  • 启用标准的第二天

  • 启用标准的三天后

  • 启用标准的七天后

  • 启用标准的 15 天后

  • 启用标准的 31 天后

如何启用Amazon Config

如果您没有Amazon Config启用,可以使用控制台或 API 手动启用它。请参阅开始使用Amazon Config中的开发人员指南

更轻松地启用Amazon Config,可以在更大的账户集中使用Amazon CloudFormation模板启用Amazon Config。要获得对模板的访问权限,请参阅Amazon CloudFormationStackSets 示例模板中的Amazon CloudFormation用户指南。有关使用此模板的更多详细信息,请参阅博客帖子。管理Amazon Organizations帐户使用Amazon Config和Amazon CloudFormationStackSets

Security HubGitHub 中的脚本,允许您跨区域启用多个账户。如果您未与 “Organizations” 集成,或者您拥有不属于组织的帐户,则此脚本非常有用。当您使用此脚本启用 Security Hub 时,它还启用Amazon Config对于这些帐户。

在中配置资源记录Amazon Config

启用资源记录作为启用Amazon Config中,选择记录给定区域中支持的所需资源。您只需在单个区域中记录全局资源。

如果未在所有区域中记录全局资源,则在不记录全局资源的区域中,必须禁用控件2.5 — 确保Amazon Config已启用。CIS 2.5 在未记录全球资源的区域中生成失败的发现。有关在未记录全局资源的区域中可能要禁用的其他控件的详细信息,请参阅以下主题。

请注意,如果您使用多账户脚本启用 Security Hub 时,它会自动启用所有区域中的所有资源(包括全局资源)的资源记录。它不会将全球资源的记录限制在单个地区。然后,您可以更新配置,以便仅在单个区域中记录全局资源。请参阅选择哪些资源Amazon Config记录中的开发人员指南

以下主题列出了每个标准所需的资源。您只能为所需资源启用录制。但是,Security Hub 继续添加新的控制和支持新资源。

有关与资源记录相关的成本的详细信息,请参阅Amazon Config定价页面