에 대한 Security Hub CSPM 제어AWS Config - AWSSecurity Hub
[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 Security Hub CSPM 제어AWS Config

이러한 Security Hub CSPM 제어는 AWS Config서비스와 리소스를 평가합니다.

이러한 컨트롤을 전혀 사용하지 못할 수 있습니다AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config합니다.

관련 요구 사항: CIS AWS파운데이션 벤치마크 v5.0.0/3.3, CIS AWS파운데이션 벤치마크 v1.2.0/2.5, CIS AWS파운데이션 벤치마크 v1.4.0/3.5, CIS AWS파운데이션 벤치마크 v3.0.0/3.3, NIST.800-53.r5 CM-3, NIST.800-53.r5 CM-6(1), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5

범주: 식별 > 인벤토리

심각도: 심각

리소스 유형: AWS::::Account

AWS Config규칙: 없음(사용자 지정 Security Hub CSPM 규칙)

스케줄 유형: 주기적

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub CSPM 기본값

includeConfigServiceLinkedRoleCheck

파라미터가 로 설정된 경우 제어는가 서비스 연결 역할을 AWS Config사용하는지 여부를 평가하지 않습니다false.

부울

true 또는 false

true

이 제어AWS Config는 현재의 계정에서가 활성화되었는지 확인하고AWS 리전, 현재 리전에서 활성화된 제어에 해당하는 모든 리소스를 기록하고, 서비스 연결 AWS Config역할을 사용합니다. 서비스 연결 역할의 이름은 바로 AWSServiceRoleForConfig입니다. 서비스 연결 역할을 사용하지 않고 includeConfigServiceLinkedRoleCheck 파라미터를 로 설정하지 않으면 다른 역할에 리소스를 정확하게 기록AWS Config하는 데 필요한 권한이 없을 수 있으므로 false제어가 실패합니다.

AWS Config서비스는 계정에서 지원되는 AWS리소스의 구성 관리를 수행하고 로그 파일을 제공합니다. 기록된 정보에는 구성 항목(AWS리소스), 구성 항목 간의 관계 및 리소스 내 구성 변경 사항이 포함됩니다. 글로벌 리소스는 모든 리전에서 사용할 수 있는 리소스입니다.

컨트롤은 다음과 같이 평가됩니다.

  • 현재 리전이 집계 리전으로 설정된 경우 제어는 AWS Identity and Access Management(IAM) 글로벌 리소스가 기록된 경우에만 PASSED 결과를 생성합니다(필요한 제어를 활성화한 경우).

  • 현재 리전이 연결된 리전으로 설정된 경우, 제어는 IAM 글로벌 리소스가 기록되는지 여부를 평가하지 않습니다.

  • 현재 리전이 집계자에 없거나 교차 리전 집계가 계정에 설정되지 않은 경우, 제어는 IAM 글로벌 리소스가 기록된 경우에만 PASSED 조사 결과를 생성합니다(필요한 제어를 활성화한 경우).

제어 결과는 AWS Config에서 리소스 상태의 변화에 대한 일일 또는 지속적 레코딩을 선택하든 영향을 받지 않습니다. 하지만 새로운 제어의 자동 활성화를 구성했거나 새로운 제어를 자동으로 활성화하는 중앙 구성 정책이 있는 경우, 새로운 제어가 릴리스될 때 이 제어의 결과가 변경될 수 있습니다. 이러한 경우 모든 리소스를 기록하지 않는 경우, PASSED 조사 결과를 받으려면 새로운 제어와 연결된 리소스에 대한 레코딩을 구성해야 합니다.

Security Hub CSPM 보안 검사는 모든 리전AWS Config에서를 활성화하고 필요한 제어에 대한 리소스 기록을 구성하는 경우에만 의도한 대로 작동합니다.

참고

Config.1에서는 Security Hub CSPM을 사용하는 모든 리전에서를 AWS Config활성화해야 합니다.

Security Hub CSPM은 리전 서비스이므로이 제어에 대해 수행된 검사는 계정의 현재 리전만 평가합니다.

각 리전에서 IAM 글로벌 리소스에 대한 보안 점검을 확인하려면 글로벌 리소스를 기록해야 합니다. IAM 글로벌 리소스가 기록되지 않은 리전은 IAM 글로벌 리소스를 확인하는 제어에 대한 기본 PASSED 조사 결과를 받게 됩니다. IAM 글로벌 리소스는 전체적으로 동일하므로 홈 리전에만 IAM 글로벌 리소스를 기록하는 AWS 리전것이 좋습니다(계정에서 교차 리전 집계가 활성화된 경우). IAM 리소스는 글로벌 리소스 레코딩이 활성화된 리전에만 레코딩됩니다.

에서 AWS Config지원하는 IAM 전역적으로 기록된 리소스 유형은 IAM 사용자, 그룹, 역할 및 고객 관리형 정책입니다. 글로벌 리소스 기록이 꺼져 있는 리전에서 이러한 리소스 유형을 확인하는 Security Hub CSPM 제어를 비활성화하는 것을 고려할 수 있습니다. 자세한 내용은 Security Hub CSPM에서 비활성화가 권장되는 제어 단원을 참조하십시오.

문제 해결

집계자의 일부가 아닌 홈 리전 및 리전에서 IAM 글로벌 리소스가 필요한 제어를 활성화한 경우, IAM 글로벌 리소스를 포함하여 현재 리전에서 활성화된 제어에 필요한 모든 리소스를 기록합니다.

연결된 리전에서는 현재 리전에서 활성화된 제어에 해당하는 모든 리소스를 AWS Config기록하는 한 모든 기록 모드를 사용할 수 있습니다. 연결된 리전에서 IAM 글로벌 리소스의 기록을 요구하는 제어를 활성화한 경우, FAILED 조사 결과를 수신하지 못합니다(다른 리소스의 기록으로 충분함).

조사 결과의 Compliance 객체 내 StatusReasons 필드는 이 제어에 대해 실패 조사 결과가 있는 이유를 파악하는 데 도움이 될 수 있습니다. 자세한 내용은 제어 조사 결과에 대한 규정 준수 세부 정보 단원을 참조하십시오.

각 제어에 대해 기록해야 하는 리소스 목록은 제어 조사 결과에 필요한 AWS Config리소스 섹션을 참조하세요. 리소스 레코딩 활성화 AWS Config및 구성에 대한 일반적인 내용은 섹션을 참조하세요Security Hub CSPM에서 AWS Config 활성화 및 구성.