Activation et configurationAWS Config - AWS Security Hub
Comment activerAWS ConfigConfiguration de l'enregistrement des ressources dansAWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation et configurationAWS Config

AWS Security Hubutilise desAWS Config règles liées aux services pour effectuer la plupart de ses contrôles de sécurité.

Pour prendre en charge ces contrôles, vousAWS Config devez l'activer sur tous les comptes, à la fois le compte administrateur et les comptes des membres, dans chacun des comptes surRégion AWS lesquels Security Hub est activé. Au minimum,AWS Config doit être configuré pour enregistrer les ressources requises pour les contrôles que vous avez activés dans chaque norme activée. Pour obtenir la liste des ressources requises pour chaque norme, reportez-vous à la sectionAWS Configressources requises pour générer des résultats de contrôle.

Security Hub vous recommande d'activer l'enregistrement des ressourcesAWS Config avant d'activer les normes de Security Hub. Si Security Hub essaie d'exécuter des contrôles de sécurité alors que l'enregistrement des ressources n'est pas activé, les contrôles renvoient des erreurs.

Security Hub ne gère pasAWS Config à votre place. Si vous l'avez déjàAWS Config activé, vous pouvez continuer à configurer ses paramètres via laAWS Config console ou les API.

Si vous l'activezAWS Config après avoir activé une norme, Security Hub crée toujours lesAWS Config règles, mais uniquement si vous les activezAWS Config dans les 31 jours suivant l'activation de la norme. Si vous ne l'activez pasAWS Config dans les 31 jours, vous devez désactiver et réactiver la norme après l'avoir activéeAWS Config.

Une fois que vous avez activé une norme, Security Hub essaie de créer lesAWS Config règles jusqu'à six fois au cours des 31 jours.

  • Le jour où vous activez la norme

  • Le jour suivant l'activation de la norme

  • Trois jours après l'activation de la norme

  • Sept jours après l'activation de la norme

  • 15 jours après l'activation de la norme

  • 31 jours après l'activation de la norme

Comment activerAWS Config

Si ce n'est pasAWS Config déjà fait, vous pouvez le configurer de l'une des manières suivantes :

  • Console ou CLI : vous pouvez activer manuellement àAWS Config l'aide de laAWS Config console ou de l'interface de ligne de commande. Consultez la section Mise en routeAWS Config dans le Guide duAWS Config développeur.

  • AWS CloudFormationmodèle : si vous avez intégréAWS Organizations ou souhaitez l'activerAWS Config sur un grand nombre de comptes, vous pouvez facilement l'activer à l'AWS Configaide du CloudFormation modèle EnableAWS Config. Pour accéder à ce modèle, consultez les AWS CloudFormation StackSets exemples de modèles dans le Guide deAWS CloudFormation l'utilisateur. Pour plus de détails sur l'utilisation de ce modèle, consultez la section Gestion desAWS Organizations comptes à l'aide deAWS Config etAWS CloudFormation StackSets.

  • Script Github — Security Hub propose un script GitHub qui vous permet d'activer plusieurs comptes dans toutes les régions. Ce script est utile si vous n'avez pas intégré des Organizations ou si vous avez des comptes qui ne font pas partie de votre organisation. Lorsque vous utilisez ce script pour activer Security Hub, il activeAWS Config également automatiquement ces comptes.

Configuration de l'enregistrement des ressources dansAWS Config

Lorsque vous activez l'enregistrement des ressources lors de laAWS Config configuration,AWS Config enregistre tous les types de ressources régionales pris en charge qu'AWS Configdétecte dans la région dans laquelle il est en cours d'exécution. Vous pouvez également configurerAWS Config pour enregistrer les types de ressources globales pris en charge. Vous ne devez enregistrer les ressources globales que dans une seule région.

Si vous utilisez CloudFormation StackSets pour activerAWS Config, nous vous recommandons d'en exécuter deux différentes StackSets. Exécutez-en une StackSet pour enregistrer toutes les ressources, y compris les ressources mondiales, dans une seule région. Exécutez une seconde StackSet pour enregistrer toutes les ressources à l'exception des ressources globales des autres régions.

Vous pouvez également utiliser la configuration rapide, une fonctionnalité deAWS Systems Manager, pour configurer rapidement l'enregistrement des ressources dans l'AWS Configensemble de vos comptes et régions. Au cours de la configuration rapide, vous pouvez choisir la région dans laquelle vous souhaitez enregistrer les ressources globales. Pour plus d'informations, consultez la section AWS ConfigEnregistrement dans le Guide deAWS Systems Manager l'utilisateur.

Si vous n'enregistrez pas de ressources globales dans toutes les régions, alors dans les régions où vous n'enregistrez pas de ressources globales, vous devez désactiver le contrôle CIS 2.5. Ce contrôle génère des résultats erronés dans les régions où les ressources globales ne sont pas enregistrées. Pour plus de détails sur les autres contrôles que vous souhaiterez peut-être désactiver dans les régions où les ressources globales ne sont pas enregistrées, voirContrôles de Security Hub que vous souhaiterez peut-être désactiver

Notez que si vous utilisez le script multi-comptes pour activer Security Hub, il active automatiquement l'enregistrement des ressources pour toutes les ressources, y compris les ressources globales, dans toutes les régions. Il ne limite pas l'enregistrement des ressources mondiales à une seule région. Vous pouvez ensuite mettre à jour la configuration pour n'enregistrer que les ressources globales d'une seule région. Reportez-vous à la section SélectionAWS Config des enregistrements de ressources dans le Guide duAWS Config développeur.

Pour que Security Hub puisse rapporter avec précision les résultats de tous les contrôles, vous devez activer l'enregistrement de certaines ressources dansAWS Config. Consultez AWS Configressources requises pour générer des résultats de contrôle.

Note

Pour générer de nouveaux résultats après des contrôles de sécurité et éviter des résultats périmés, vous devez disposer des autorisations suffisantes pour que le rôle IAM associé à l'enregistreur de configuration puisse évaluer les ressources sous-jacentes.

Pour plus de détails sur les coûts associés à l'enregistrement des ressources, consultez la section AWS Security HubTarification et AWS Configtarification.

Security Hub peut avoir un impact sur les coûtsAWS Config de votre enregistreur de configuration en mettant à jour l'élémentAWS::Config::ResourceCompliance de configuration. Des mises à jour peuvent se produire chaque fois qu'uneAWS Config règle associée à un contrôle Security Hub change d'état de conformité ou est activée ou désactivée. Si vous utilisez l'enregistreur deAWS Config configuration uniquement pour Security Hub et que vous n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver l'enregistrement correspondant dans laAWS Config console ouAWS CLI. Cela peut réduire vosAWS Config coûts. Pour obtenir des instructions, consultez la section Sélection desAWS Config enregistrements de ressources dans le Guide duAWS Config développeur. Vous n'avez pas besoin d'enregistrerAWS::Config::ResourceCompliance pour que les contrôles de sécurité fonctionnent dans Security Hub. Security Hub ne nécessite l'enregistrement que pour les ressources répertoriées dansAWS Configressources requises pour générer des résultats de contrôle.