Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour AWS Config
Ces contrôles du Security Hub évaluent AWS Config service et ressources.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[Configuration 1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources
Exigences connexes : CIS AWS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIST .800-53.r5 CM-3, .800-53.r5 CM-6 (1), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (2), v3.2.1/10.5.2, v3.2.1/11.5 NIST NIST PCI DSS PCI DSS
Catégorie : Identifier - Inventaire
Gravité : Moyenne
Type de ressource : AWS::::Account
AWS Config règle : Aucune (règle Security Hub personnalisée)
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Le contrôle n'évalue pas si AWS Config utilise le rôle lié au service si le paramètre est défini sur. |
Booléen |
|
|
Ce contrôle vérifie si AWS Config est activé dans votre compte en cours Région AWS, enregistre toutes les ressources correspondant aux contrôles activés dans la région actuelle et utilise le service lié AWS Config rôle. Le nom du rôle lié au service est. AWSServiceRoleForConfig Si vous n'utilisez pas le rôle lié au service et que vous ne définissez pas le includeConfigServiceLinkedRoleCheck paramètre surfalse, le contrôle échoue car les autres rôles ne disposent peut-être pas des autorisations nécessaires pour AWS Config pour enregistrer avec précision vos ressources.
Le AWS Config le service effectue la gestion de la configuration des systèmes pris en charge AWS des ressources dans votre compte et vous fournit des fichiers journaux. Les informations enregistrées incluent l'élément de configuration (AWS ressource), les relations entre les éléments de configuration et toute modification de configuration au sein des ressources. Les ressources mondiales sont des ressources disponibles dans n'importe quelle région.
Le contrôle est évalué comme suit :
Si la région actuelle est définie comme votre région d'agrégation, le contrôle produit des
PASSEDrésultats uniquement si AWS Identity and Access Management (IAM) les ressources globales sont enregistrées (si vous avez activé les contrôles qui les nécessitent).Si la région actuelle est définie comme une région liée, le contrôle n'évalue pas si les ressources IAM globales sont enregistrées.
Si la région actuelle ne figure pas dans votre agrégateur, ou si l'agrégation entre régions n'est pas configurée dans votre compte, le contrôle produit des
PASSEDrésultats uniquement si des ressources IAM globales sont enregistrées (si vous avez activé les contrôles qui les nécessitent).
Les résultats du contrôle ne sont pas affectés par le fait que vous choisissiez l'enregistrement quotidien ou continu des modifications de l'état des ressources dans AWS Config. Toutefois, les résultats de ce contrôle peuvent changer lorsque de nouveaux contrôles sont publiés si vous avez configuré l'activation automatique de nouveaux contrôles ou si vous disposez d'une politique de configuration centrale qui active automatiquement les nouveaux contrôles. Dans ces cas, si vous n'enregistrez pas toutes les ressources, vous devez configurer l'enregistrement pour les ressources associées à de nouveaux contrôles afin de recevoir un PASSED résultat.
Les contrôles de sécurité du Security Hub fonctionnent comme prévu uniquement si vous activez AWS Config dans toutes les régions et configurez l'enregistrement des ressources pour les contrôles qui l'exigent.
Note
Config.1 nécessite que AWS Config est activé dans toutes les régions dans lesquelles vous utilisez Security Hub.
Security Hub étant un service régional, la vérification effectuée pour ce contrôle évalue uniquement la région actuelle du compte.
Pour autoriser les contrôles de sécurité par rapport aux ressources IAM mondiales d'une région, vous devez enregistrer les ressources IAM mondiales dans cette région. Les régions pour lesquelles aucune ressource IAM globale n'est enregistrée recevront un PASSED résultat par défaut pour les contrôles qui vérifient les ressources IAM globales. Étant donné que les ressources IAM globales sont identiques Régions AWS, nous vous recommandons d'enregistrer les ressources IAM globales uniquement dans la région d'origine (si l'agrégation entre régions est activée dans votre compte). IAMles ressources seront enregistrées uniquement dans la région dans laquelle l'enregistrement global des ressources est activé.
Les types de ressources enregistrés IAM dans le monde entier qui AWS Config les supports sont IAM les utilisateurs, les groupes, les rôles et les politiques gérées par le client. Vous pouvez envisager de désactiver les contrôles du Security Hub qui vérifient ces types de ressources dans les régions où l'enregistrement global des ressources est désactivé. Pour de plus amples informations, veuillez consulter Contrôles suggérés à désactiver dans Security Hub.
Correction
Pour obtenir la liste des ressources qui doivent être enregistrées pour chaque contrôle, reportez-vous àAWS Config Ressources requises pour les résultats des contrôles du Security Hub.
Dans la région d'origine et les régions qui ne font pas partie d'un agrégateur, enregistrez toutes les ressources requises pour les contrôles activés dans la région actuelle, y compris les ressources IAM mondiales si vous avez activé des contrôles nécessitant des ressources IAM mondiales.
Dans les régions liées, vous pouvez utiliser n'importe quel AWS Config mode d'enregistrement, tant que vous enregistrez toutes les ressources correspondant aux contrôles activés dans la région actuelle. Dans les régions liées, si vous avez activé des contrôles qui nécessitent l'enregistrement des ressources IAM mondiales, vous ne recevrez aucune FAILED constatation (votre enregistrement des autres ressources est suffisant).
Pour activer AWS Config et configurez-le pour enregistrer les ressources, voir Configuration AWS Config avec la console dans AWS Config Guide du développeur. Vous pouvez également utiliser un AWS CloudFormation modèle pour automatiser ce processus. Pour plus d’informations, consultez .AWS CloudFormation StackSets exemples de modèles dans le AWS CloudFormation Guide de l'utilisateur.
