Contrôles Security Hub pour AWS Service Catalog

Ce AWS Security Hub contrôle évalue le AWS Service Catalog service et les ressources. Il se peut que le contrôle ne soit pas disponible du tout Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation

Exigences connexes : NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Élevée

Type de ressource : AWS::ServiceCatalog::Portfolio

Règle AWS Config  : service-catalog-shared-within-organization

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si des AWS Service Catalog actions sont des portefeuilles au sein d'une organisation lorsque l'intégration AWS Organizations est activée. Le contrôle échoue si les portefeuilles ne sont pas partagés au sein d'une organisation.

Le partage de portfolio uniquement au sein des Organisations permet de garantir qu'un portfolio n'est pas partagé avec des personnes incorrectes Comptes AWS. Pour partager un portefeuille de Service Catalog avec un compte au sein d'une organisation, Security Hub recommande d'utiliser ORGANIZATION_MEMBER_ACCOUNT plutôt queACCOUNT. Cela simplifie l'administration en régissant l'accès accordé au compte dans l'ensemble de l'organisation. Si votre entreprise a besoin de partager des portefeuilles Service Catalog avec un compte externe, vous pouvez supprimer automatiquement les résultats de ce contrôle ou le désactiver.

Correction

Pour activer le partage de portefeuille avec AWS Organizations, consultez la section Partage avec AWS Organizations dans le guide de AWS Service Catalog l'administrateur.