的 Security Hub CSPM 控制項AWS Config - AWSSecurity Hub
【Config.1】 AWS Config應啟用並使用服務連結角色進行資源記錄

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的 Security Hub CSPM 控制項AWS Config

這些 Security Hub CSPM 控制項會評估 AWS Config服務和資源。

這些控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性

【Config.1】 AWS Config應啟用並使用服務連結角色進行資源記錄

相關要求:CIS AWSFoundations Benchmark v5.0.0/3.3、CIS AWSFoundations Benchmark v1.2.0/2.5、CIS AWSFoundations Benchmark v1.4.0/3.5、CIS AWSFoundations Benchmark v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCI v3.2.1/10.5.2、PCI v3.2.1/1.5.5

類別:識別 > 清查

嚴重性:嚴重

資源類型: AWS::::Account

AWS Config規則:無 (自訂 Security Hub CSPM 規則)

排程類型:定期

參數:

參數 說明 Type 允許自訂值 Security Hub CSPM 預設值

includeConfigServiceLinkedRoleCheck

如果 參數設定為 ,則控制項不會評估 是否AWS Config使用服務連結角色false

Boolean

truefalse *

true

此控制項AWS Config會檢查您的帳戶是否在目前的 中啟用AWS 區域、記錄與目前區域中啟用的控制項對應的所有資源,並使用 服務連結AWS Config角色。服務連結角色的名稱為 AWSServiceRoleForConfig。如果您不使用服務連結角色,且未將 includeConfigServiceLinkedRoleCheck 參數設定為 false,則控制項會失敗,因為其他角色可能沒有必要許可AWS Config讓 準確記錄您的資源。

AWS Config此服務會對您帳戶中支援AWS的資源執行組態管理,並交付日誌檔案給您。記錄的資訊包括組態項目 (AWS資源)、組態項目之間的關係,以及資源內的任何組態變更。全域資源是可在任何區域中使用的資源。

控制項的評估方式如下:

  • 如果目前區域設定為彙總區域,則控制項只會在記錄 AWS Identity and Access Management(IAM) 全域資源時產生PASSED調查結果 (如果您已啟用需要它們的控制項)。

  • 如果目前區域設定為連結的區域,則控制項不會評估是否記錄 IAM 全域資源。

  • 如果目前區域不在彙總工具中,或者您的帳戶中未設定跨區域彙總,則只有在記錄 IAM 全域資源時 (如果您已啟用需要它們的控制項),控制項才會產生PASSED調查結果。

無論您選擇每日還是持續記錄資源狀態的變更,控制結果都不會受到影響AWS Config。不過,如果您已設定自動啟用新控制項,或具有自動啟用新控制項的中央組態政策,則發佈新控制項時,此控制項的結果可能會變更。在這些情況下,如果您未記錄所有資源,您必須為與新控制項相關聯的資源設定記錄,才能接收PASSED問題清單。

Security Hub CSPM 安全檢查只有在您在AWS Config所有區域中啟用 並為需要它的控制項設定資源記錄時,才能如預期運作。

注意

Config.1 AWS Config要求在您使用 Security Hub CSPM 的所有區域中啟用 。

由於 Security Hub CSPM 是區域服務,因此針對此控制項執行的檢查只會評估帳戶的目前區域。

若要允許對區域中的 IAM 全域資源進行安全檢查,您必須在該區域中記錄 IAM 全域資源。未記錄 IAM 全域資源的區域會收到檢查 IAM 全域資源之控制項的預設PASSED調查結果。由於 IAM 全域資源在各個區域之間都是相同的AWS 區域,因此我們建議您僅在主要區域 (如果您的帳戶中啟用了跨區域彙總) 中記錄 IAM 全域資源。IAM 資源只會記錄在開啟全域資源記錄的區域中。

AWS Config支援的 IAM 全域記錄資源類型是 IAM 使用者、群組、角色和客戶受管政策。您可以考慮停用 Security Hub CSPM 控制項,在關閉全域資源記錄的區域中檢查這些資源類型。如需詳細資訊,請參閱在 Security Hub CSPM 中停用的建議控制項

修補

在不屬於彙總工具的主區域和區域中,記錄目前區域中啟用之控制項所需的所有資源,如果您已啟用需要 IAM 全域資源的控制項,則包括 IAM 全域資源。

在連結的區域中,只要您要記錄與目前區域中啟用的控制項對應的所有資源,就可以使用任何AWS Config錄製模式。在連結區域中,如果您已啟用需要記錄 IAM 全域資源的控制項,則不會收到FAILED調查結果 (其他資源的記錄就已足夠)。

問題清單Compliance物件中的 StatusReasons 欄位可協助您判斷為什麼此控制項的問題清單失敗。如需詳細資訊,請參閱控制問題清單的合規詳細資訊

如需每個控制項必須記錄哪些資源的清單,請參閱 控制問題清單所需的AWS Config資源。如需啟用AWS Config和設定資源錄製的一般資訊,請參閱 啟用和設定 AWS Config Security Hub CSPM