Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

启用和配置Amazon Config

Amazon Security Hub使用与服务相关的Amazon Config规则来执行大部分安全控制检查。

要支持这些控制，Amazon Config必须在启用 Security Hub 的每个区域中的所有帐户（包括管理员帐户和成员帐户）上启用。 Amazon Config必须配置为至少记录您启用的标准所需的资源。

Security Hub 建议您在启用 Security Hub 标准Amazon Config之前启用资源记录。如果 Security Hub 在未启用资源记录时尝试运行安全检查，则检查会返回错误。

Security Hub 无法Amazon Config为您管理。如果您已经Amazon Config启用，则可以继续通过Amazon Config控制台或 API 配置其设置。

如果您Amazon Config在启用标准后启用，Security Hub 仍会创建Amazon Config规则，但前提是您在启用标准后的 31 天Amazon Config内启用。如果您Amazon Config在 31 天内未启用，则必须在启用后禁用并重新启用该标准Amazon Config。

启用标准后，Security Hub 会在 31 天内最多尝试创建六次Amazon Config规则。

如何启用Amazon Config

如果您Amazon Config尚未设置，则可以通过以下方式之一进行设置：

在中配置资源记录Amazon Config

当您在Amazon Config安装期间启用资源Amazon Config记录时，会记录在运行区域中Amazon Config发现的所有受支持的区域资源类型。您还可以配置Amazon Config为记录支持的全局资源类型。您只需要在单个区域中记录全球资源。

如果你使用的是启用 CloudFormation StackSets Amazon Config，我们建议你运行两个不同的版本 StackSets。运行一个 StackSet ，记录单个区域中的所有资源，包括全球资源。运行一秒钟 StackSet 以记录除其他区域的全局资源之外的所有资源。

您还可以使用 Quick Setup（一项功能）在您的账户和区域Amazon Config中快速配置资源记录。Amazon Systems Manager在快速设置期间，您可以选择要在哪个区域记录全球资源。有关更多信息，请参阅《Amazon Systems Manager用户指南》中的Amazon Config录制。

如果您未在所有区域记录全球资源，则在未记录全球资源的区域中，必须禁用该控件2.5 — 确保Amazon Config已启用。CIS 2.5 在未记录全球资源的区域生成失败的调查结果。有关您可能要在未记录全球资源的区域中禁用的其他控件的详细信息，请参阅以下主题。

请注意，如果您使用多账户脚本启用 Security Hub，它将自动为所有区域的所有资源（包括全球资源）启用资源记录。它不会将全球资源的记录限制在单个区域。然后，您可以更新配置以仅记录单个区域中的全球资源。请参阅Amazon Config开发者指南中的选择哪些资源Amazon Config记录。

以下主题列出了每个标准所需的资源。您只能为所需资源启用录制。但是，Security Hub 继续添加新控件并支持新资源。

有关与资源记录相关的费用的详细信息，请参阅定Amazon Config价页面。