Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Config controles
Estos controles están relacionados con los AWS Config recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIST .800-53.r5 CM-3, .800-53.r5 CM-6 (1), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (2), v3.2.1/10.5.2, NIST v3.2.1/11.5 NIST PCI DSS PCI DSS
Categoría: Identificar - Inventario
Gravedad: media
Tipo de recurso: AWS::::Account
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si su cuenta AWS Config está habilitada en la actual Región de AWS, registra todos los recursos que corresponden a los controles que están habilitados en la región actual y utiliza la función vinculada al servicio AWS Config. Si no utiliza el rol vinculado al servicio, el control falla porque es posible que otros roles no tengan los permisos necesarios AWS Config para registrar sus recursos con precisión.
El AWS Config servicio gestiona la configuración de AWS los recursos compatibles de tu cuenta y te entrega los archivos de registro. La información registrada incluye el elemento de configuración (AWS recurso), las relaciones entre los elementos de configuración y cualquier cambio de configuración en los recursos. Los recursos globales son recursos que están disponibles en cualquier región.
El control se evalúa de la siguiente manera:
Si la región actual está configurada como su región de agregación, el control solo produce
PASSEDresultados si AWS Identity and Access Management (IAM) se registran los recursos globales (si ha activado los controles que los requieren).Si la región actual está configurada como una región vinculada, el control no evalúa si se registran los recursos IAM globales.
Si la región actual no está en su agregador o si la agregación entre regiones no está configurada en su cuenta, el control solo produce
PASSEDresultados si se registran los recursos IAM globales (si ha activado los controles que los requieren).
Los resultados del control no se ven afectados por el registro diario o continuo de los cambios en el estado de los recursos. AWS Config Sin embargo, los resultados de este control pueden cambiar cuando se lanzan nuevos controles si se ha configurado la activación automática de los nuevos controles o si se cuenta con una política de configuración central que habilita automáticamente los nuevos controles. En estos casos, si no graba todos los recursos, debe configurar el registro de los recursos asociados a los nuevos controles para poder recibir un PASSED resultado.
Los controles de seguridad de Security Hub funcionan según lo previsto solo si se habilita AWS Config en todas las regiones y se configura el registro de recursos para los controles que lo requieren.
nota
La configuración 1 requiere que AWS Config esté habilitada en todas las regiones en las que utilice Security Hub.
Dado que Security Hub es un servicio regional, la comprobación realizada para este control solo evalúa la región actual de la cuenta.
Para permitir las comprobaciones de seguridad de los recursos IAM globales de una región, debe registrar los recursos IAM globales de esa región. Las regiones en las que no se hayan registrado los recursos IAM globales recibirán un PASSED resultado predeterminado para los controles que comprueban los recursos IAM globales. Como los recursos IAM globales son idénticos en todas las regiones Regiones de AWS, te recomendamos que registres los recursos IAM globales únicamente en la región de origen (si la agregación entre regiones está habilitada en tu cuenta). IAMlos recursos se registrarán solo en la región en la que esté activado el registro de recursos globales.
Los tipos de recursos registrados IAM a nivel mundial que AWS Config admiten son IAM los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes. Puede considerar desactivar los controles del concentrador de seguridad que comprueban estos tipos de recursos en las regiones en las que el registro global de recursos está desactivado. Para obtener más información, consulte Security Hub controla que quizás desee realizar deshabilitaciones.
Corrección
Para obtener una lista de los recursos que se deben registrar para cada control, consulteAWS Config recursos necesarios para generar los resultados de control.
En la región de origen y en las regiones que no forman parte de un agregador, registre todos los recursos necesarios para los controles que están habilitados en la región actual, incluidos los recursos IAM globales si ha activado los controles que requieren recursos IAM globales.
En las regiones vinculadas, puede utilizar cualquier modo de AWS Config grabación, siempre que registre todos los recursos que correspondan a los controles que estén habilitados en la región actual. En las regiones vinculadas, si tienes activados los controles que requieren el registro de los recursos IAM globales, no recibirás ningún FAILED dato (basta con registrar otros recursos).
Para habilitarlo AWS Config y configurarlo para registrar recursos, consulte Configuración AWS Config con la consola en la Guía para AWS Config desarrolladores. También puedes usar una AWS CloudFormation plantilla para automatizar este proceso. Para obtener más información, consulte las plantillas AWS CloudFormation StackSets de ejemplo en la Guía del AWS CloudFormation usuario.
