运行安全检查的 AWS Config 要求 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

运行安全检查的 AWS Config 要求

为了对您环境的资源运行安全检查,AWS Security Hub 将使用标准指定的步骤,或使用特定的 AWS Config 托管规则。这些 AWS Config 托管规则称为服务相关规则,因为它们是由 Security Hub 服务启用和控制的。

为 Security Hub 启用 AWS Config

要使这些标准在 Security Hub 中起作用,在启用安全标准之前,还必须在您的 Security Hub 账户中启用 AWS Config。

Security Hub 不会为您管理 AWS Config。如果您已启用 AWS Config,则可以通过 AWS Config 控制台或 API 继续配置其设置。

如果未启用 AWS Config,您可以手动启用它。或者,您可以在 AWS CloudFormation AWS Config 示例模板中使用 AWS CloudFormation“启用 StackSets”模板。如果您使用 Security Hub 多账户、多区域启用脚本,它还会为您启用 AWS Config。

重要

如果您在 Security Hub 主账户中启用 AWS Config,这不会自动在该主账户的 Security Hub 成员账户中启用 AWS Config。

如果您希望 Security Hub 基于 Security Hub 成员账户中的资源的安全标准生成结果,则必须在该成员账户中启用 AWS Config。

重要

作为启用 AWS Config 的一部分,当您打开 AWS Config 记录器时,请选择记录给定区域中支持的所有资源,包括全局资源。

有关更多信息,请参阅 中的 AWS Config 入门AWS Config Developer Guide

Security Hub 如何为安全标准生成 AWS Config 服务相关规则

在启用安全标准后,Security Hub 自动创建它针对启用的控制运行检查所需的 AWS Config 服务相关规则。

对于使用一个或多个 AWS Config 服务相关规则的每个控制,Security Hub 在您的 AWS 环境中创建所需的规则实例。这些服务相关规则特定于 Security Hub。即使已存在相同规则的其他实例,它也会创建这些服务相关规则。

注意

对于 AWS Config 托管规则,每个区域的配额为每个账户 250 条规则。但是,在 Security Hub 中启用安全标准时,自动创建的服务相关 AWS Config 规则不会计入该配额。即使您的账户中已有 250 条 AWS Config 托管规则,您也可以启用安全标准。

对于服务相关规则(如 Security Hub 为安全标准添加的规则),配额为每个区域的每个账户为 250 个规则。这是对 AWS Config 托管规则的 250 个规则配额的补充。

有关 Security Hub 用于每个 CIS AWS Foundations 控制的特定 AWS Config 托管规则的信息,请参阅CIS AWS Foundations 基准控制。有关 CIS AWS Foundations 控制所需的 AWS Config 资源列表,请参阅CIS 控制所需的 AWS Config 资源

有关 Security Hub 用于每个支付卡行业数据安全标准 (PCI DSS) 控制的特定 AWS Config 托管规则的信息,请参阅PCI DSS 控制。有关 PCI DSS 控制所需的 AWS Config 资源列表,请参阅PCI DSS 控制所需的 AWS Config 资源

有关 AWS Config 用于每个基础安全最佳实践标准控件的特定 Security Hub 托管规则的信息,请参阅AWS 基础安全最佳实践控件。有关基础安全最佳实践控件所需的 AWS Config 资源列表,请参阅AWS 基础安全最佳实践控件所需的 AWS Config 资源

安全检查可以生成基于 AWS Config 规则的结果。在这种情况下,调查结果详细信息包含用于打开关联的 规则的 Rules (规则)AWS Config 链接。要导航到 AWS Config 规则,您还必须在选定账户中具有 IAM 权限以导航到 AWS Config。