Activation et configurationAWS Config - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation et configurationAWS Config

AWS Security Hubutilise desAWS Config règles liées aux services pour effectuer la plupart de ses contrôles de sécurité.

Pour prendre en charge ces contrôles, vousAWS Config devez l'activer sur tous les comptes, à la fois le compte administrateur et les comptes des membres, dans chaque région où Security Hub est activé. AWS Configdoit être configuré pour enregistrer au minimum les ressources requises pour les normes que vous avez activées.

Security Hub vous recommande d'activer l'enregistrement des ressourcesAWS Config avant d'activer les normes de Security Hub. Si Security Hub essaie d'exécuter des contrôles de sécurité alors que l'enregistrement des ressources n'est pas activé, les contrôles renvoient des erreurs.

Security Hub ne gère pasAWS Config à votre place. Si vous l'avez déjàAWS Config activé, vous pouvez continuer à configurer ses paramètres via laAWS Config console ou les API.

Si vous l'activezAWS Config après avoir activé une norme, Security Hub crée toujours lesAWS Config règles, mais uniquement si vous les activezAWS Config dans les 31 jours suivant l'activation de la norme. Si vous ne l'activez pasAWS Config dans les 31 jours, vous devez désactiver et réactiver la norme après l'avoir activéeAWS Config.

Une fois que vous avez activé une norme, Security Hub essaie de créer lesAWS Config règles jusqu'à six fois au cours des 31 jours.

  • Le jour où vous activez la norme

  • Le jour suivant l'activation de la norme

  • Trois jours après l'activation de la norme

  • Sept jours après l'activation de la norme

  • 15 jours après l'activation de la norme

  • 31 jours après l'activation de la norme

Comment activerAWS Config

Si ce n'est pasAWS Config déjà fait, vous pouvez le configurer de l'une des manières suivantes :

  1. Console ou CLI : vous pouvez activer manuellement àAWS Config l'aide de laAWS Config console ou de l'interface de ligne de commande. Consultez la section Mise en routeAWS Config dans le Guide duAWS Config développeur.

  2. AWS CloudFormationmodèle : si vous avez intégréAWS Organizations ou souhaitez l'activerAWS Config sur un grand nombre de comptes, vous pouvez facilement l'activer à l'AWS Configaide du CloudFormation modèle EnableAWS Config. Pour accéder à ce modèle, consultez les AWS CloudFormation StackSets exemples de modèles dans le Guide deAWS CloudFormation l'utilisateur. Pour plus de détails sur l'utilisation de ce modèle, consultez la section Gestion desAWS Organizations comptes à l'aide deAWS Config etAWS CloudFormation StackSets.

  3. Script Github — Security Hub propose un script GitHub qui vous permet d'activer plusieurs comptes dans toutes les régions. Ce script est utile si vous n'avez pas intégré des Organizations ou si vous avez des comptes qui ne font pas partie de votre organisation. Lorsque vous utilisez ce script pour activer Security Hub, il activeAWS Config également automatiquement ces comptes.

Configuration de l'enregistrement des ressources dansAWS Config

Lorsque vous activez l'enregistrement des ressources lors de laAWS Config configuration,AWS Config enregistre tous les types de ressources régionales pris en charge qu'AWS Configdétecte dans la région dans laquelle il est en cours d'exécution. Vous pouvez également configurerAWS Config pour enregistrer les types de ressources globales pris en charge. Vous ne devez enregistrer les ressources globales que dans une seule région.

Si vous utilisez CloudFormation StackSets pour activerAWS Config, nous vous recommandons d'en exécuter deux différentes StackSets. Exécutez-en une StackSet pour enregistrer toutes les ressources, y compris les ressources mondiales, dans une seule région. Exécutez une seconde StackSet pour enregistrer toutes les ressources à l'exception des ressources globales des autres régions.

Vous pouvez également utiliser la configuration rapide, une fonctionnalité deAWS Systems Manager, pour configurer rapidement l'enregistrement des ressources dansAWS Config vos comptes et régions. Au cours de la configuration rapide, vous pouvez choisir la région dans laquelle vous souhaitez enregistrer les ressources globales. Pour plus d'informations, consultez la section AWS ConfigEnregistrement dans le Guide deAWS Systems Manager l'utilisateur.

Si vous n'enregistrez pas de ressources globales dans toutes les régions, vous devez désactiver le contrôle dans les régions où vous n'enregistrez pas de ressources globales2.5 — Assurez-vous queAWS Config c'est activé. CIS 2.5 génère des résultats erronés dans les régions où les ressources mondiales ne sont pas enregistrées. Pour plus d'informations sur les autres contrôles que vous souhaiterez peut-être désactiver dans les régions où les ressources globales ne sont pas enregistrées, consultez les rubriques suivantes.

Notez que si vous utilisez le script multi-comptes pour activer Security Hub, il active automatiquement l'enregistrement des ressources pour toutes les ressources, y compris les ressources globales, dans toutes les régions. Il ne limite pas l'enregistrement des ressources mondiales à une seule région. Vous pouvez ensuite mettre à jour la configuration pour n'enregistrer que les ressources globales d'une seule région. Reportez-vous à la section SélectionAWS Config des enregistrements de ressources dans le Guide duAWS Config développeur.

Les rubriques et Vous pouvez activer l'enregistrement uniquement pour les ressources requises. Security Hub continue toutefois d'ajouter de nouveaux contrôles et de prendre en charge de nouvelles ressources.

Note

Pour générer de nouveaux résultats après des contrôles de sécurité et éviter des résultats périmés, vous devez disposer des autorisations suffisantes pour que le rôle IAM associé à l'enregistreur de configuration puisse évaluer les ressources sous-jacentes.

Pour plus de détails sur les coûts associés à l'enregistrement des ressources, consultez la page deAWS Config tarification.