适用于 Service Catalog 的 Security Hub 控件 - Amazon Security Hub
[ServiceCatalog.1] Service Catalog 产品组合仅应在 Amazon 组织内共享
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Service Catalog 的 Security Hub 控件

这些 Amazon Security Hub 控件可评估 Amazon Service Catalog 服务和资源。

这些控件可能并未在所有的 Amazon Web Services 区域 上提供。有关更多信息,请参阅 按地区划分的控件可用性

[ServiceCatalog.1] Service Catalog 产品组合仅应在 Amazon 组织内共享

相关要求:NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-6、NIST.800-53.r5 CM-8、NIST.800-53.r5 SC-7

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::ServiceCatalog::Portfolio

Amazon Config 规则:service-catalog-shared-within-organization

计划类型:已触发变更

参数:

此控件可检查启用与 Amazon Organizations 的集成后,Amazon Service Catalog 是否在组织内共享产品组合。如果组织内不共享产品组合,则此控件将失败。

仅在组织内共享产品组合有助于确保不会与不正确的 Amazon Web Services 账户 共享产品组合。要与组织中的账户共享 Service Catalog 产品组合,Security Hub 建议使用 ORGANIZATION_MEMBER_ACCOUNT 而不是 ACCOUNT。这样就可以通过管理整个组织内授予账户的访问权限来简化管理。如果您有业务需要与外部账户共享 Service Catalog 产品组合,您可以从此控件自动隐藏调查发现禁用此控件

修复

要启用与组织共享产品组合,请参阅《Service Catalog Administrator Guide》中的 Sharing with Amazon Organizations