适用于 AWS Config 的 Security Hub 控件

这些 Security Hub 控件可评估 AWS Config 服务和资源。

这些控件可能并未在所有的 AWS 区域 上提供。有关更多信息，请参阅 按地区划分的控件可用性。

[Config.1] 应启用 AWS Config 并使用服务相关角色进行资源记录

相关要求： CIS AWS 基金会基准 v5.0.0/3.3、CIS AWS 基金会基准 v1.2.0/2.5、CIS AWS 基金会基准 v1.4.0/3.5、CIS AWS 基金会基准 v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/11.5

类别：识别 > 清单

严重性：严重

资源类型：AWS::::Account

AWS Config规则：无（自定义 Security Hub 规则）

计划类型：定期

参数：

此控件可检查当前 AWS 区域 中您的账户是否已启用 AWS Config，可记录与当前区域中启用的控件对应的所有资源，并可使用服务相关的 AWS Config 角色。该服务相关角色的名称为 AWSServiceRoleForConfig。如果您不使用服务相关角色且未将 includeConfigServiceLinkedRoleCheck 参数设置为 false，则此控件将失败，因为其他角色可能不具备 AWS Config 准确记录您的资源所需的权限。

AWS Config 服务对您账户中支持的 AWS 资源执行配置管理，并向您提供日志文件。记录的信息包括配置项（AWS 资源）、配置项之间的关系以及资源内的任何配置更改。全局资源是指在任何区域中都可用的资源。

控件评估方式如下：

无论您选择每天还是连续记录 AWS Config 中资源状态的变化，都不会影响控件的结果。但是，如果您配置了自动启用新控件或具有自动启用新控件的中心配置策略，则在发布新控件时，此控件的结果可能会发生变化。在这些情况下，如果您没有记录所有资源，则必须配置与新控件关联的资源记录才能获得 PASSED 调查发现。

只有在所有区域中启用 AWS Config 并为需要它的控件配置资源记录时，Security Hub 安全检查才能按预期运行。

修复

在主区域和不属于聚合器的区域中，请记录当前区域中启用的控件所需的所有资源，包括 IAM 全局资源（如果您启用了需要 IAM 全局资源的控件）。

在关联区域中，只要您记录的是与当前区域中启用的控件相对应的所有资源，您就可以使用任何 AWS Config 记录模式。在关联区域中，如果您启用了需要记录 IAM 全局资源的控件，则不会收到 FAILED 调查发现（您对其他资源的记录就已足够）。

调查发现的 Compliance 对象中的 StatusReasons 字段可帮助您确定此控件具有失败的调查发现的原因。有关更多信息，请参阅 控件调查发现的合规性详细信息。

有关必须为每个控件记录哪些资源的列表，请参阅控件调查发现所需的 AWS Config 资源。有关启用 AWS Config 和配置资源记录的一般信息，请参阅为 Security Hub CSPM 启用和配置 AWS Config。