AWS Config コントロール

AWS Config これらのコントロールはリソースに関連しています。

これらのコントロールは、一部のユーザーには使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Config.1] AWS Config を有効にする必要があります

関連要件:PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/11.5、CIS Foundations Benchmark v1.2.0/2.5、CIS AWS Foundations Benchmark v1.4.0/3.5、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6 (1)、nist.800-53.r5 CM-8、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM8、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM8、NIST.800-53.r5 AWS CM-8、NIST.800-53.r5 CM8、NIST.800-53.r5 CM-8 -8 (2)

カテゴリ: 識別 > インベントリ

重要度: 中

リソースタイプ: AWS::::Account

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

AWS Config このコントロールは、現在のリージョンのアカウントで有効になっているかどうかを確認し、すべてのリソースを記録します。有効になっていないか、すべてのリソースを記録していない場合 AWS Config 、コントロールは失敗します。

AWS Config このサービスは、 AWS アカウント内のサポートされているリソースの設定管理を行い、ログファイルをユーザーに配信します。記録される情報には、構成項目 (AWS リソース)、構成項目間の関係、およびリソース間の構成変更が含まれます。

Security Hub では、 AWS Config すべての地域で有効にすることを推奨しています。 AWS AWS Config キャプチャされた設定項目履歴により、セキュリティ分析、リソース変更追跡、コンプライアンス監査が可能になります。

注記

Config.1 では、Security Hub AWS Config を使用するすべての地域で有効になっている必要があります。

Security Hub はリージョナルサービスであるため、このコントロールに対して実行されるチェックでは、アカウントの現在のリージョンのみがチェックされます。すべてのリージョンが確認されるわけではありません。

また、グローバルリソースに対するセキュリティチェックを各リージョンで許可するには、グローバルリソースも記録する必要があります。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

AWS Config サポート対象としてグローバルに記録されているリソースタイプは、IAM ユーザー、グループ、ロール、顧客管理ポリシーです。グローバルリソースの記録がオフになっているリージョンでは、これらのリソースタイプをチェックする Security Hub コントロールを無効にすることをお勧めします。IAM はグローバルサービスであるため、IAM リソースはグローバルリソース記録が有効になっているリージョンでのみ記録されます。詳細については、「無効にする可能性のある Security Hub コントロール」を参照してください。

修正

AWS Config すべてのリソースを記録するように有効化および設定するには、『AWS Config 開発者ガイド』の「手動設定」を参照してください。グローバルリソースを記録し、リソースタイプが除外されないようにするには、「カスタマイズ可能なオーバーライドのあるすべてのリソース」を選択します。オーバーライド設定をすべて削除し、記録頻度を連続記録に設定します。

AWS CloudFormation テンプレートを使用してこのプロセスを自動化することもできます。詳細については、『AWS CloudFormation ユーザーガイド』AWS CloudFormation StackSets のサンプルテンプレートを参照してください。