启用和配置Amazon Config - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用和配置Amazon Config

Amazon Security Hub使用服务相关Amazon Config规则来执行大多数控制安全检查。

为了支持这些控制措施,Amazon Config必须在启用 Security Hub 的每个区域的所有账户(包括主账户和成员账户)上启用。Amazon Config必须配置为至少记录已启用的标准所需的资源。

Security Hub 建议您在中启用资源录制Amazon Config在启用 Security Hub 标准之前。如果 Security Hub 尝试在未启用资源录制时运行安全检查,则检查会返回错误。

Security Hub 不管理Amazon Config对您而言。如果您已有Amazon Config启用,则可以通过Amazon Config控制台或 API。

如果您启用Amazon Config启用标准后,Security Hub 仍会创建Amazon Config规则,但前提是启用Amazon Config在启用标准后 31 天内。如果你不启用Amazon Config在 31 天内,那么您必须在启用后禁用并重新启用标准Amazon Config.

启用标准后,Security Hub 会尝试创建Amazon Config在 31 天内最多规定六次。

  • 当天启用标准

  • 启用标准的第二天

  • 启用标准后三天

  • 启用标准后七天

  • 启用标准后 15 天

  • 启用标准后 31 天

启用的方式Amazon Config

如果您没有Amazon Config启用,您可以使用控制台或 API 手动启用它。请参阅开始使用Amazon Config中的Amazon Config开发人员指南.

更轻松地启用Amazon Config在更大的账户中,您可以使用Amazon CloudFormation模板启用Amazon Config. 要访问该模板,请参阅Amazon CloudFormationStackSets 示例模板中的Amazon CloudFormation用户指南. 有关使用此模板的更多详细信息,请参阅博客文章。管理Amazon Organizations账户使用Amazon Config和Amazon CloudFormationStackSets.

Security Hub 提供GitHub 中的脚本这允许您在不同地区启用多个账户。如果您没有与 Organizations 集成,或者您的帐户不属于组织,则此脚本非常有用。当您使用此脚本启用 Security Hub 时,它还会启用Amazon Config对于那些账户。

在中配置资源录制Amazon Config

启用资源记录作为启用的一部分时Amazon Config中,选择记录给定地区支持的所需资源。您只需在单个区域中记录全球资源。

如果您没有在所有地区记录全局资源,那么在不记录全局资源的区域中,必须禁用该控件2.5 — 确保Amazon Config已启用. CIS 2.5 在未记录全球资源的地区产生失败的调查结果。有关您可能希望在未记录全局资源的区域中禁用的其他控件的详细信息,请参阅以下主题。

请注意,如果你使用多账户脚本要启用 Security Hub,它会自动为所有区域中的所有资源(包括全球资源)启用资源记录。它不会将全球资源的记录限制在单个地区。然后,您可以更新配置,以便仅在单个区域中记录全局资源。请参阅选择哪些资源Amazon Config记录中的Amazon Config开发人员指南.

以下主题列出了每个标准所需资源。您只能为所需资源启用录制功能。但是,Security Hub 将继续添加新的控件并支持新资源。

有关与资源记录相关的成本的详细信息,请参阅Amazon Config定价页面.