Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour AWS Config
Ces contrôles du Security Hub évaluent le AWS Config service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources
Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.5, CIS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, Nist.800-53.R5 CM-3, NIST.800-53.R5 CM-6 (1), Nist.800-53.R5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/3.5.2 2,1/11,5 AWS
Catégorie : Identifier - Inventaire
Gravité : Critique
Type de ressource : AWS::::Account
AWS Config règle : Aucune (règle Security Hub personnalisée)
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Le contrôle n'évalue pas si le rôle lié au service est AWS Config utilisé si le paramètre est défini sur. |
Booléen |
|
|
Ce contrôle vérifie si votre compte AWS Config est activé actuellement Région AWS, enregistre toutes les ressources correspondant aux contrôles activés dans la région actuelle et utilise le rôle lié au service AWS Config. Le nom du rôle lié au service est. AWSServiceRoleForConfig Si vous n'utilisez pas le rôle lié au service et que vous ne définissez pas le includeConfigServiceLinkedRoleCheck paramètre surfalse, le contrôle échoue car les autres rôles ne disposent peut-être pas des autorisations nécessaires AWS Config pour enregistrer correctement vos ressources.
Le AWS Config service gère la configuration des AWS ressources prises en charge dans votre compte et vous fournit des fichiers journaux. Les informations enregistrées incluent l'élément de configuration (AWS ressource), les relations entre les éléments de configuration et tout changement de configuration au sein des ressources. Les ressources mondiales sont des ressources disponibles dans n'importe quelle région.
Le contrôle est évalué comme suit :
Si la région actuelle est définie comme votre région d'agrégation, le contrôle produit des
PASSEDrésultats uniquement si des ressources globales AWS Identity and Access Management (IAM) sont enregistrées (si vous avez activé les contrôles qui les nécessitent).Si la région actuelle est définie comme une région liée, le contrôle n'évalue pas si les ressources globales IAM sont enregistrées.
Si la région actuelle ne figure pas dans votre agrégateur, ou si l'agrégation entre régions n'est pas configurée dans votre compte, le contrôle produit des
PASSEDrésultats uniquement si les ressources globales IAM sont enregistrées (si vous avez activé les contrôles qui les nécessitent).
Les résultats du contrôle ne sont pas affectés par le fait que vous choisissiez l'enregistrement quotidien ou continu des modifications de l'état des ressources dans AWS Config. Toutefois, les résultats de ce contrôle peuvent changer lorsque de nouveaux contrôles sont publiés si vous avez configuré l'activation automatique de nouveaux contrôles ou si vous disposez d'une politique de configuration centrale qui active automatiquement les nouveaux contrôles. Dans ces cas, si vous n'enregistrez pas toutes les ressources, vous devez configurer l'enregistrement pour les ressources associées à de nouveaux contrôles afin de recevoir un PASSED résultat.
Les contrôles de sécurité du Security Hub fonctionnent comme prévu uniquement si vous les activez AWS Config dans toutes les régions et configurez l'enregistrement des ressources pour les contrôles qui l'exigent.
Note
Config.1 nécessite que cela AWS Config soit activé dans toutes les régions dans lesquelles vous utilisez Security Hub.
Security Hub étant un service régional, la vérification effectuée pour ce contrôle évalue uniquement la région actuelle du compte.
Pour autoriser les contrôles de sécurité par rapport aux ressources mondiales IAM d'une région, vous devez enregistrer les ressources mondiales IAM dans cette région. Les régions pour lesquelles aucune ressource globale IAM n'est enregistrée recevront un PASSED résultat par défaut pour les contrôles qui vérifient les ressources globales IAM. Les ressources globales IAM étant identiques d'un bout à l'autre Régions AWS, nous vous recommandons d'enregistrer les ressources mondiales IAM uniquement dans la région d'origine (si l'agrégation entre régions est activée dans votre compte). Les ressources IAM seront enregistrées uniquement dans la région dans laquelle l'enregistrement des ressources globales est activé.
Les types de ressources IAM enregistrés dans le monde entier qui sont pris AWS Config en charge sont les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM. Vous pouvez envisager de désactiver les contrôles du Security Hub qui vérifient ces types de ressources dans les régions où l'enregistrement global des ressources est désactivé. Pour de plus amples informations, veuillez consulter Contrôles suggérés à désactiver dans Security Hub.
Correction
Dans la région d'origine et les régions qui ne font pas partie d'un agrégateur, enregistrez toutes les ressources requises pour les contrôles activés dans la région actuelle, y compris les ressources globales IAM si vous avez activé des contrôles qui nécessitent des ressources mondiales IAM.
Dans les régions liées, vous pouvez utiliser n'importe quel AWS Config mode d'enregistrement, à condition d'enregistrer toutes les ressources correspondant aux contrôles activés dans la région actuelle. Dans les régions liées, si vous avez activé les contrôles qui nécessitent l'enregistrement des ressources globales IAM, vous ne recevrez aucun FAILED résultat (votre enregistrement des autres ressources est suffisant).
Le StatusReasons champ situé dans l'Complianceobjet de votre recherche peut vous aider à déterminer pourquoi votre recherche a échoué pour ce contrôle. Pour de plus amples informations, veuillez consulter Détails de conformité pour les résultats des contrôles.
Pour obtenir la liste des ressources qui doivent être enregistrées pour chaque contrôle, voirAWS Config Ressources requises pour les résultats des contrôles du Security Hub. Pour des informations générales sur l'activation AWS Config et la configuration de l'enregistrement des ressources, consultezActivation et configuration AWS Config pour Security Hub.
