Security Hub 如何使用 Amazon Config 规则进行安全检查 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 如何使用 Amazon Config 规则进行安全检查

要对环境的资源进行安全检查, Amazon Security Hub 要么使用标准指定的步骤,要么使用特定的 Amazon Config 规则。有些规则是托管规则,由 Amazon Config管理。其他规则是 Security Hub 开发的自定义规则。

Amazon Config Security Hub 用于控制的规则被称为服务相关规则,因为它们由 Security Hub 服务启用和控制。

要启用对这些 Amazon Config 规则的检查,您必须先 Amazon Config 为您的账户启用并启用所需资源的资源记录。有关如何启用的信息 Amazon Config,请参阅正在配置 Amazon Config。有关所需资源记录的信息,请参阅 Amazon Config 生成控制结果所需的资源

Security Hub 如何生成服务相关规则

对于使用 Amazon Config 服务相关规则的每个控件,Security Hub 都会在您的 Amazon 环境中创建所需规则的实例。

这些服务相关规则特定于 Security Hub。即使已存在相同规则的其他实例,它也会创建这些服务相关规则。服务相关规则在原始规则名称前添加一个 securityhub,并在规则名称后添加一个唯一标识符。例如,对于原始 Amazon Config 托管规则vpc-flow-logs-enabled,与服务相关的规则名称将类似securityhub-vpc-flow-logs-enabled-12345于。

可用于评估控件的 Amazon Config 规则数量有限制。Security Hub 创建的自定义 Amazon Config 规则不计入该限制。即使您的账户中已达到托管规则的 Amazon Config 限制,也可以启用安全标准。要了解有关 Amazon Config 规则限制的更多信息,请参阅《Amazon Config 开发者指南》中的服务限制

查看有关控件 Amazon Config 规则的详细信息

对于使用 Amazon Config 托管规则的控件,控件描述包括指向 Amazon Config 规则详细信息的链接。自定义规则未从控件描述中链接。有关控件的说明,请参见 Security Hub 控件参考。从列表中选择一个控件以查看其描述。

对于通过这些控件生成的调查结果,查找结果详细信息包括指向关联 Amazon Config 规则的链接。请注意,要通过查找详细信息导航到 Amazon Config 规则,您还必须在所选账户中拥有 IAM 权限才能导航到该规则 Amazon Config。

调查发现页面、见解页面和集成页面上的调查发现详细信息包括指向 Amazon Config 规则详细信息的规则链接。请参阅 查看发现详情

在控件详细信息页面上,调查结果列表的 “调查” 列包含指向 Amazon Config 规则详细信息的链接。请参阅 查看查找资源的 Amazon Config 规则