Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Config ressources nécessaires pour générer des résultats de contrôle
AWS Security Hub génère des résultats de contrôle en effectuant des contrôles de sécurité par rapport aux contrôles du Security Hub. Certains contrôles utilisent des AWS Config règles qui évaluent la conformité à des ressources spécifiques. Pour que Security Hub génère des résultats pour les contrôles dont le type de planification est déclenché par des modifications, vous devez activer l'enregistrement des ressources requises dans AWS Config. Il n'est pas nécessaire d'enregistrer les ressources pour la plupart des contrôles dotés d'un type de planification périodique. Cependant, certains contrôles périodiques nécessitent l'enregistrement des ressources pour détecter les changements de conformité.
Cette page fournit une liste des ressources requises selon les normes et une liste des ressources requises divisée par norme. Le premier tableau répertorie également les contrôles Security Hub qui utilisent chaque ressource.
Si un résultat est généré par un contrôle de sécurité basé sur une AWS Config règle, les détails du résultat incluent un lien Règles vers la AWS Config règle associée. Pour accéder à la AWS Config règle, votre compte doit disposer des autorisations IAM pour consulter les AWS Config règles.
Note
Régions AWS Lorsqu'un contrôle n'est pas disponible, la ressource correspondante n'est pas disponible dans AWS Config. Pour obtenir la liste des limites régionales applicables aux contrôles du Security Hub, consultezDisponibilité des contrôles par région.
AWS Config ressources nécessaires pour tous les contrôles
Pour que Security Hub puisse générer des résultats pour les contrôles déclenchés par des modifications de Security Hub activés qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans AWS Config. Ce tableau indique également quels contrôles nécessitent une ressource particulière. Un contrôle peut nécessiter plusieurs ressources.
Service | Ressource requise | Contrôles associés |
---|---|---|
Amazon API Gateway | AWS::ApiGateway::Stage |
APIGateway.1 APIGateway.2 APIGateway.3 APIGateway.4 APIGateway.5 |
AWS::ApiGatewayV2::Stage |
APIGateway.1 APIGateway.9 |
|
AWS AppSync | AWS::AppSync::GraphQLApi
|
AppSync2. AppSync5. |
Amazon Athena | AWS::Athena::WorkGroup |
Athéna.1 |
AWS Backup (AWS Backup) | AWS::Backup::RecoveryPoint
|
Sauvegarde.1 |
AWS Certificate Manager (ACM) | AWS::ACM::Certificate
|
ACM.1 ACM.2 |
AWS CloudFormation | AWS::CloudFormation::Stack
|
CloudFormation1. |
Amazon CloudFront | AWS::CloudFront::Distribution
|
CloudFront1. CloudFront3. CloudFront4. CloudFront5. CloudFront6. CloudFront7. CloudFront8. CloudFront9. CloudFront.10 CloudFront.13 |
Amazon CloudWatch | AWS::CloudWatch::Alarm
|
CloudWatch.15 CloudWatch.17 |
AWS CodeBuild | AWS::CodeBuild::Project
|
CodeBuild1. CodeBuild2. CodeBuild3. CodeBuild4. CodeBuild5. |
AWS Database Migration Service (AWS DMS) | AWS::DMS::Endpoint |
DMS.9 |
AWS::DMS::ReplicationInstance
|
DMS.6 |
|
AWS::DMS::ReplicationTask |
DMS.7 DMS.8 |
|
Amazon DynamoDB | AWS::DynamoDB::Table
|
DynamoDB.2 Dynamo DB.6 |
Amazon Elastic Compute Cloud (EC2) | AWS::EC2::ClientVpnEndpoint |
EC2,51 |
AWS::EC2::EIP |
EC2,12 |
|
AWS::EC2::Instance |
EC2.4 EC2.8 EC2.9 EC2.17 EC2.24 EMR.1 SSM.1 |
|
AWS::EC2::LaunchTemplate |
EC2.25 |
|
AWS::EC2::NetworkAcl |
EC2.16 EC2.21 |
|
AWS::EC2::NetworkInterface |
EC2.22 |
|
AWS::EC2::SecurityGroup |
EC2.2 EC2.13 EC2.14 EC2.18 EC2.19 |
|
AWS::EC2::Subnet |
EC2.15 ElastiCache7. Lambda.5 |
|
AWS::EC2::TransitGateway |
EC2.23 |
|
AWS::EC2::VPNConnection |
EC2.20 |
|
AWS::EC2::Volume |
EC2.3 |
|
Amazon EC2 Auto Scaling | AWS::AutoScaling::AutoScalingGroup |
AutoScaling1. AutoScaling2. AutoScaling6. AutoScaling9. |
AWS::AutoScaling::LaunchConfiguration |
AutoScaling3. AutoScaling4. Autoscaling.5 |
|
Amazon EC2 Systems Manager (SSM) | AWS::SSM::AssociationCompliance |
SSM.3 |
AWS::SSM::ManagedInstanceInventory |
SSM.1 |
|
AWS::SSM::PatchCompliance |
SSM.2 |
|
Amazon Elastic Container Registry (Amazon ECR) | AWS::ECR::Repository |
ECR.2 ECR.3 |
Amazon Elastic Container Service (Amazon ECS) | AWS::ECS::Cluster |
ECS.12 |
AWS::ECS::Service |
ECS.2 ECS.10 |
|
AWS::ECS::TaskDefinition |
ECS.1 ECS.3 ECS.4 ECS.5 ECS.8 ECS.9 |
|
Amazon Elastic File System (Amazon EFS) | AWS::EFS::AccessPoint
|
EFS.3 EFS.4 |
Amazon Elastic Kubernetes Service (Amazon EKS) | AWS::EKS::Cluster |
EKS.2 |
AWS Elastic Beanstalk | AWS::ElasticBeanstalk::Environment
|
ElasticBeanstalk1. ElasticBeanstalk2. ElasticBeanstalk3. |
Elastic Load Balancing | AWS::ElasticLoadBalancing::LoadBalancer |
ELB.2 ELB.3 ELB.5 ELB.7 ELB.8 ELB.9 ELB.10 ELB.14 |
AWS::ElasticLoadBalancingV2::LoadBalancer |
ELB.4 ELB.5 ELB.6 ELB.12 ELB.13 16 ELB |
|
ElasticSearch | AWS::Elasticsearch::Domain |
ES.3 ES.4 ES.5 ES.6 ES.7 ES.8 |
Amazon EventBridge | AWS::Events::EventBus |
EventBridge3. |
AWS::Events::Endpoint |
EventBridge4. |
|
Amazon FSx |
AWS::FSx::FileSystem |
FSx.1 |
AWS Identity and Access Management (JE SUIS) | AWS::IAM::Group |
IAM.18 KMS.2 |
AWS::IAM::Policy |
IAM.1 IAM.21 KMS.1 |
|
AWS::IAM::Role |
IAM.18 KMS.2 |
|
AWS::IAM::User |
IAM.2 IAM.18 KMS.2 |
|
AWS Key Management Service (AWS KMS) | AWS::KMS::Key |
KMS.3 |
Amazon Kinesis | AWS::Kinesis::Stream |
Kinesis.1 |
AWS Lambda | AWS::Lambda::Function |
Lambda.1 Lambda.2 Lambda.3 Lambda.5 |
Amazon MSK | AWS::MSK::Cluster |
MSK.1 MASQUE 2 |
Amazon MQ | AWS::AmazonMQ::Broker |
MQ.5 MQ.6 |
AWS Network Firewall | AWS::NetworkFirewall::Firewall |
NetworkFirewall1. NetworkFirewall9. |
AWS::NetworkFirewall::FirewallPolicy |
NetworkFirewall3. NetworkFirewall4. NetworkFirewall5. |
|
AWS::NetworkFirewall::RuleGroup |
NetworkFirewall6. |
|
Amazon OpenSearch Service | AWS::OpenSearch::Domain |
Opensearch.1 Opensearch.2 Opensearch.3 Opensearch.4 Opensearch.5 Opensearch.6 Opensearch.7 Opensearch.8 OpenSearch.10 |
Amazon Relational Database Service (Amazon RDS) | AWS::RDS::DBCluster |
Document DB.1 Document DB.2 Document DB.4 Document DB.5 Neptune.1 Neptune.2 Neptune.4 Neptune.5 Neptune.7 Neptune.8 Neptune.9 RDS.7 RDS.12 RDS.14 RDS.15 RDS.16 RDS.24 RDS.27 RDS.34 RDS.35 |
AWS::RDS::DBClusterSnapshot |
Document DB.3 Neptune.3 Neptune.6 RDS.1 RDS.4 |
|
AWS::RDS::DBInstance |
RDS.2 RDS.3 RDS.5 RDS.6 RDS.8 RDS.9 RDS.10 RDS.11 RDS.13 RDS.17 RDS.18 RDS.23 RDS.25 |
|
AWS::RDS::DBSnapshot |
Document DB.3 RDS.1 RDS.4 |
|
AWS::RDS::EventSubscription |
RDS.19 RDS.20 RDS.21 RDS.22 |
|
Amazon Redshift | AWS::Redshift::Cluster |
Redshift.1 Redshift.2 Redshift.3 Redshift.4 Redshift.6 Redshift.7 Redshift.8 Redshift.9 Redshift.10 |
Amazon Route 53 | AWS::Route53::HostedZone |
Itinéraire 53.2 |
Amazon Simple Storage Service (Amazon S3) | AWS::S3::AccessPoint |
S3,19 |
AWS::S3::Bucket |
S3.2 S3.3 S3.5 S3.6 S3,7 S3.8 S3.9 S3.10 S3.11 S3.12 S3.13 S3,14 S3,15 S3.17 S3,20 |
|
Amazon Simple Notification Service (Amazon SNS) | AWS::SNS::Topic
|
SNS.1 SNS.2 |
Amazon Simple Queue Service (Amazon SQS) | AWS::SQS::Queue
|
SQS.1 |
Amazon SageMaker | AWS::SageMaker::NotebookInstance
|
SageMaker2. SageMaker3. |
AWS Secrets Manager | AWS::SecretsManager::Secret
|
SecretsManager1. SecretsManager2. |
AWS Step Functions | AWS::StepFunctions::StateMachine
|
StepFunctions1. |
AWS WAF | AWS::WAF::Rule |
WAF.6 |
AWS::WAF::RuleGroup |
WAF.7 |
|
AWS::WAF::WebACL |
WAF.8 |
|
AWS::WAFRegional::Rule |
WAF.2 |
|
AWS::WAFRegional::RuleGroup |
WAF.3 |
|
AWS::WAFRegional::WebACL |
WAF.4 |
|
AWS::WAFv2::RuleGroup |
WAF.12 |
|
AWS::WAFv2::WebACL |
WAF.10 |
AWS Config ressources requises pour la norme FSBP
Pour que Security Hub puisse rapporter avec précision les résultats relatifs aux contrôles déclenchés par des modifications par les meilleures pratiques de sécurité AWS fondamentales (FSBP) activés et utilisant une AWS Config règle, vous devez enregistrer ces ressources dans. AWS Config Pour plus d'informations sur cette norme, consultezAWS Norme sur les meilleures pratiques de sécurité fondamentales (FSBP).
Service | Ressources requises |
---|---|
Amazon API Gateway |
|
AWS AppSync |
|
Amazon Athena |
|
AWS Backup |
|
AWS Certificate Manager (ACM) |
|
AWS CloudFormation |
|
Amazon CloudFront |
|
AWS CodeBuild |
|
AWS Database Migration Service (AWS DMS) |
|
Amazon DynamoDB |
|
Amazon EC2 Systems Manager (SSM) |
|
Amazon Elastic Compute Cloud (EC2) |
|
Amazon EC2 Auto Scaling |
|
Amazon Elastic Container Registry (Amazon ECR) |
|
Amazon Elastic Container Service (Amazon ECS) |
|
Amazon Elastic File System (Amazon EFS) |
|
Amazon EKS |
|
ElasticBeanstalk |
|
Elastic Load Balancing |
|
ElasticSearch |
|
Amazon FSx |
|
AWS Identity and Access Management (JE SUIS) |
|
AWS Key Management Service (AWS KMS) |
|
Amazon Kinesis |
|
AWS Lambda |
|
Amazon MSK |
|
AWS Network Firewall |
|
Amazon OpenSearch Service |
|
Amazon Relational Database Service (Amazon RDS) |
|
Amazon Redshift |
|
Amazon Route 53 |
|
Amazon Simple Storage Service (Amazon S3) |
|
Amazon Simple Notification Service (Amazon SNS) |
|
Amazon Simple Queue Service (Amazon SQS) |
|
Amazon SageMaker |
|
AWS Secrets Manager |
|
AWS Step Functions |
|
AWS WAF |
|
AWS Config ressources nécessaires pour CIS AWS Foundations Benchmark
Pour effectuer des contrôles de sécurité pour les contrôles activés qui s'appliquent aux tests de référence v1.2.0 et v1.4.0 du Center for Internet Security (CIS) AWS Foundations, Security Hub exécute les étapes d'audit exactes prescrites pour les contrôles dans Securing Amazon Web Services
Pour plus d'informations sur cette norme, consultezBenchmark v1.2.0 et v1.4.0 du Center for Internet Security (CIS) AWS Foundations.
AWS Config Ressources requises pour CIS v1.4.0
Pour que Security Hub puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications de CIS v1.4.0 activés qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans AWS Config.
Service | Ressources requises |
---|---|
Amazon Elastic Compute Cloud (EC2) |
|
AWS Identity and Access Management (JE SUIS) |
|
Amazon Relational Database Service (Amazon RDS) |
|
Amazon Simple Storage Service (Amazon S3) |
|
AWS Config Ressources requises pour CIS v1.2.0
Pour que Security Hub puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v1.2.0 activés qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans AWS Config.
Service | Ressources requises |
---|---|
Amazon Elastic Compute Cloud (EC2) |
|
AWS Identity and Access Management (JE SUIS) |
|
AWS Config ressources requises pour le NIST SP 800-53 Rev. 5
Pour que Security Hub puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications SP 800-53 Rev. 5 activés par le National Institute of Standards and Technology (NIST) utilisant une AWS Config règle, vous devez enregistrer ces ressources dans. AWS Config Vous devez uniquement enregistrer les ressources pour les contrôles qui déclenchent un type de modification de calendrier. Pour plus d'informations sur cette norme, consultezInstitut national des normes et de la technologie (NIST) SP 800-53 Rev. 5.
Service | Ressources requises |
---|---|
Amazon API Gateway |
|
AWS AppSync |
|
Amazon Athena |
|
AWS Backup |
|
AWS Certificate Manager (ACM) |
|
AWS CloudFormation |
|
Amazon CloudFront |
|
Amazon CloudWatch |
|
AWS CodeBuild |
|
AWS Database Migration Service (AWS DMS) |
|
Amazon DynamoDB |
|
Amazon Elastic Compute Cloud (EC2) |
|
Amazon EC2 Auto Scaling |
|
Amazon Elastic Container Registry (Amazon ECR) |
|
Amazon Elastic Container Service (Amazon ECS) |
|
Amazon Elastic File System (Amazon EFS) |
|
Amazon EKS |
|
ElasticBeanstalk |
|
Elastic Load Balancing |
|
ElasticSearch |
|
Amazon EventBridge |
|
Amazon FSx |
|
AWS Identity and Access Management (JE SUIS) |
|
AWS Key Management Service (AWS KMS) |
|
Amazon Kinesis |
|
AWS Lambda |
|
Amazon MSK |
|
Amazon MQ |
|
AWS Network Firewall |
|
Amazon OpenSearch Service |
|
Amazon Relational Database Service (Amazon RDS) |
|
Amazon Redshift |
|
Amazon Route 53 |
|
Amazon Simple Storage Service (Amazon S3) |
|
Amazon Simple Notification Service (Amazon SNS) |
|
Amazon Simple Queue Service (Amazon SQS) |
|
Amazon EC2 Systems Manager (SSM) |
|
Amazon SageMaker |
|
AWS Secrets Manager |
|
AWS WAF |
|
AWS Config ressources requises pour la norme PCI DSS
Pour que Security Hub puisse rapporter avec précision les résultats des contrôles PCI DSS (Payment Card Industry Data Security Standard) activés qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans. AWS Config Pour plus d'informations sur cette norme, consultezNorme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).
Service | Ressources requises |
---|---|
AWS CodeBuild |
|
Amazon Elastic Compute Cloud (EC2) |
|
Amazon EC2 Auto Scaling |
|
AWS Identity and Access Management (JE SUIS) |
|
AWS Lambda |
|
Amazon OpenSearch Service |
|
Amazon Relational Database Service (Amazon RDS) |
|
Amazon Redshift |
|
Amazon Simple Storage Service (Amazon S3) |
|
Amazon EC2 Systems Manager (SSM) |
|
AWS Config ressources requises pour Service-Managed Standard : AWS Control Tower
Pour que Security Hub puisse communiquer avec précision les résultats relatifs à l'activation de Service-Managed Standard : contrôles déclenchés par des AWS Control Tower modifications qui utilisent une AWS Config règle, vous devez enregistrer les ressources suivantes dans. AWS Config Pour plus d'informations sur cette norme, consultezNorme de gestion des services : AWS Control Tower.
Service | Ressources requises |
---|---|
Amazon API Gateway |
|
AWS Certificate Manager (ACM) |
|
AWS CodeBuild |
|
Amazon DynamoDB |
|
Amazon Elastic Compute Cloud (EC2) |
|
Amazon EC2 Auto Scaling |
|
Amazon Elastic Container Registry (Amazon ECR) |
|
Amazon Elastic Container Service (Amazon ECS) |
|
Amazon Elastic File System (Amazon EFS) |
|
Amazon EKS |
|
ElasticBeanstalk |
|
Elastic Load Balancing |
|
ElasticSearch |
|
AWS Identity and Access Management (JE SUIS) |
|
AWS Key Management Service (AWS KMS) |
|
Amazon Kinesis |
|
AWS Lambda |
|
AWS Network Firewall |
|
Amazon OpenSearch Service |
|
Amazon Relational Database Service (Amazon RDS) |
|
Amazon Redshift |
|
Amazon Simple Storage Service (Amazon S3) |
|
Amazon Simple Notification Service (Amazon SNS) |
|
Amazon Simple Queue Service (Amazon SQS) |
|
Amazon EC2 Systems Manager (SSM) |
|
AWS Secrets Manager |
|
AWS WAF |
|