Activation et configurationAWS Config - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation et configurationAWS Config

AWS Security Hubutilise un lien avec un serviceAWS Configrègles permettant d'effectuer la plupart de ses contrôles de sécurité pour les contrôles.

Pour prendre en charge ces contrôles,AWS Configdoit être activé sur tous les comptes, à la fois le compte administrateur et les comptes membres, dans chaque région où Security Hub est activé.AWS Configdoit être configuré pour enregistrer au minimum les ressources requises pour les normes que vous avez activées.

Security Hub vous recommande d'activer l'enregistrement des ressources dansAWS Configavant d'activer les normes Security Hub. Si Security Hub tente d'exécuter des contrôles de sécurité lorsque l'enregistrement des ressources n'est pas activé, les vérifications renvoient des erreurs.

Security Hub ne gère pasAWS Configpour vous. Si vous avez déjàAWS Configactivé, vous pouvez poursuivre la configuration de ses paramètres par le biais de la pageAWS Configconsole ou API.

Si vous activezAWS Configune fois que vous avez activé une norme, Security Hub crée toujours leAWS Configrègles, mais uniquement si vous activezAWS Configdans les 31 jours suivant l'activation de la norme. Si vous n'activez pasAWS Configdans un délai de 31 jours, vous devez désactiver et réactiver la norme après avoir activéAWS Config.

Une fois que vous avez activé une norme, Security Hub essaie de créer leAWS Configrègle jusqu'à six fois pendant les 31 jours.

  • Le jour où vous activez la norme

  • Le lendemain de l'activation de la norme

  • Trois jours après l'activation de la norme

  • Sept jours après l'activation de la norme

  • 15 jours après l'activation de la norme

  • 31 jours après l'activation de la norme

Comment activerAWS Config

Si vous n'avez pas configuréAWS Configdéjà, vous pouvez le configurer de l'une des manières suivantes :

  1. Console ou CLI— Vous pouvez activer manuellementAWS Configen utilisant le fichierAWS ConfigConsole ou CLI. VoirDémarrage avecAWS Configdans leAWS ConfigManuel du développeur.

  2. AWS CloudFormationmodèle— Si vous avez intégré àAWS Organizationsou souhaitez activerAWS Configsur un grand nombre de comptes, vous pouvez facilement activerAWS Configavec le CloudFormation modèleActiverAWS Config. Pour accéder à ce modèle, consultezAWS CloudFormation Exemples de modèle StackSetsdans leAWS CloudFormationGuide de l'utilisateur. Pour de plus amples informations concernant l'utilisation de ce modèle, consultezGestion d'AWS Organizationscomptes utilisantAWS ConfigetAWS CloudFormationStackSets.

  3. Scénario Github— Security Hub offre undans GitHubqui vous permet d'activer plusieurs comptes entre les régions. Ce script est utile si vous ne vous êtes pas intégré à des Organizations ou si vous possédez des comptes qui ne font pas partie de votre organisation. Lorsque vous utilisez ce script pour activer Security Hub, il active également automatiquementAWS Configpour ces comptes.

Configuration de l'enregistrement des ressources dansAWS Config

Lorsque vous activez l'enregistrement des ressources pendantAWS Configconfiguration,AWS Configenregistre tous les types deressources régionalescetteAWS Configdécouvre dans la région dans laquelle il est en cours d'exécution. Vous pouvez également configurerAWS Configpour enregistrer les types pris en charge deressources mondiales. Vous avez seulement besoin d'enregistrer des ressources globales dans une seule région.

Si vous utilisez CloudFormation StackSets pour activerAWS Config, nous vous recommandons d'exécuter deux StackSets différents. Exécutez un StackSet pour enregistrer toutes les ressources, y compris les ressources mondiales, dans une seule région. Exécuter une seconde StackSet pour enregistrer toutes les ressources à l'exception des ressources globales dans d'autres régions.

Vous pouvez également utiliser Quick Setup, une fonctionnalité deAWS Systems Manager, pour configurer rapidement l'enregistrement des ressources dansAWS Configdans vos comptes et régions. Lors de la configuration rapide, vous pouvez choisir dans quelle région vous souhaitez enregistrer des ressources globales. Pour de plus amples informations, veuillez consulterAWS Configenregistrementdans leAWS Systems ManagerGuide de l'utilisateur.

Si vous n'enregistrez pas de ressources globales dans toutes les régions, dans les régions où vous n'enregistrez pas de ressources globales, vous devez désactiver le contrôle2.5 — PlanificationAWS Configest activé. CIS 2.5 génère des résultats échoués dans les régions où les ressources mondiales ne sont pas enregistrées. Pour plus d'informations sur les autres contrôles que vous pouvez désactiver dans les régions où les ressources globales ne sont pas enregistrées, consultez les rubriques suivantes.

Notez que si vous utilisez lescript multi-comptespour activer Security Hub, il active automatiquement l'enregistrement des ressources pour toutes les ressources, y compris les ressources globales, dans toutes les régions. Il ne limite pas l'enregistrement des ressources mondiales à une seule région. Vous pouvez ensuite mettre à jour la configuration pour enregistrer uniquement les ressources globales dans une seule région. VoirSélection de quelles ressourcesAWS Configdisquesdans leAWS ConfigManuel du développeur.

Les rubriques suivantes répertorient les ressources requises pour chaque norme. Vous pouvez activer l'enregistrement uniquement pour les ressources requises. Cependant, Security Hub continue d'ajouter de nouveaux contrôles et de prendre en charge de nouvelles ressources.

Pour en savoir plus sur les coûts associés à l'enregistrement des ressources, consultez la pageAWS Configpage de tarification.