翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config コントロール
AWS Config これらのコントロールはリソースに関連しています。
これらのコントロールは、一部のユーザーには使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Config.1] AWS Config を有効にする必要があります
関連要件:PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/11.5、CIS Foundations Benchmark v1.2.0/2.5、CIS AWS Foundations Benchmark v1.4.0/3.5、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6 (1)、nist.800-53.r5 CM-8、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM8、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM8、NIST.800-53.r5 AWS CM-8、NIST.800-53.r5 CM8、NIST.800-53.r5 CM-8 -8 (2)
カテゴリ: 識別 > インベントリ
重要度: 中
リソースタイプ: AWS::::Account
AWS Config ルール:なし (カスタムSecurity Hub ル)
スケジュールタイプ: 定期的
パラメータ: なし
AWS Config このコントロールは、現在のリージョンのアカウントで有効になっているかどうかを確認し、すべてのリソースを記録します。有効になっていないか、すべてのリソースを記録していない場合 AWS Config 、コントロールは失敗します。
AWS Config このサービスは、 AWS アカウント内のサポートされているリソースの設定管理を行い、ログファイルをユーザーに配信します。記録される情報には、構成項目 (AWS リソース)、構成項目間の関係、およびリソース間の構成変更が含まれます。
Security Hub では、 AWS Config すべての地域で有効にすることを推奨しています。 AWS AWS Config キャプチャされた設定項目履歴により、セキュリティ分析、リソース変更追跡、コンプライアンス監査が可能になります。
注記
Config.1 では、Security Hub AWS Config を使用するすべての地域で有効になっている必要があります。
Security Hub はリージョナルサービスであるため、このコントロールに対して実行されるチェックでは、アカウントの現在のリージョンのみがチェックされます。すべてのリージョンが確認されるわけではありません。
また、グローバルリソースに対するセキュリティチェックを各リージョンで許可するには、グローバルリソースも記録する必要があります。グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。
AWS Config サポート対象としてグローバルに記録されているリソースタイプは、IAM ユーザー、グループ、ロール、顧客管理ポリシーです。グローバルリソースの記録がオフになっているリージョンでは、これらのリソースタイプをチェックする Security Hub コントロールを無効にすることをお勧めします。IAM はグローバルサービスであるため、IAM リソースはグローバルリソース記録が有効になっているリージョンでのみ記録されます。詳細については、「無効にする可能性のある Security Hub コントロール」を参照してください。
修正
AWS Config すべてのリソースを記録するように有効化および設定するには、『AWS Config 開発者ガイド』の「手動設定」を参照してください。グローバルリソースを記録し、リソースタイプが除外されないようにするには、「カスタマイズ可能なオーバーライドのあるすべてのリソース」を選択します。オーバーライド設定をすべて削除し、記録頻度を連続記録に設定します。
AWS CloudFormation テンプレートを使用してこのプロセスを自動化することもできます。詳細については、『AWS CloudFormation ユーザーガイド』AWS CloudFormation StackSets のサンプルテンプレートを参照してください。