AWS Config コントロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Config コントロール

これらのコントロールは AWS Config リソースに関連しています。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

関連する要件: CIS AWS Foundations Benchmark v1.2.0/2.5、CIS AWS Foundations Benchmark v1.4.0/3.5、CIS AWS Foundations Benchmark v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/1.5

カテゴリ: 識別 > インベントリ

重要度:

リソースタイプ: AWS::::Account

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ: なし

このコントロール AWS Config は、現在の のアカウントで が有効になっているかどうかを確認し AWS リージョン、現在のリージョンで有効になっているコントロールに対応するすべてのリソースを記録し、サービスにリンクされた AWS Config ロール を使用します。サービスにリンクされたロールを使用しない場合、他のロールには がリソースを正確に記録するために必要なアクセス許可がないため、コントロール AWS Config は失敗します。

この AWS Config サービスは、アカウントでサポートされている AWS リソースの設定管理を実行し、ログファイルを配信します。記録された情報には、設定項目 (AWS リソース)、設定項目間の関係、およびリソース内の設定変更が含まれます。グローバルリソースは、どのリージョンでも利用できるリソースです。

コントロールは次のように評価されます。

  • 現在のリージョンが集約リージョン として設定されている場合、コントロールは AWS Identity and Access Management (IAM) グローバルリソースが記録されているPASSED場合にのみ結果を生成します (それらを必要とするコントロールを有効にしている場合)。

  • 現在のリージョンがリンクされたリージョンとして設定されている場合、コントロールは IAM グローバルリソースが記録されているかどうかを評価しません。

  • 現在のリージョンがアグリゲータにない場合、またはクロスリージョン集約がアカウントで設定されていない場合、コントロールは IAM グローバルリソースが記録されている場合にのみPASSED結果を生成します (それらを必要とするコントロールを有効にしている場合)。

コントロールの結果は、 でリソースの状態の変化を毎日記録するか継続的に記録するかによって影響を受けません AWS Config。ただし、新しいコントロールの自動有効化を設定している場合、または新しいコントロールを自動的に有効にする中央設定ポリシーがある場合、新しいコントロールがリリースされると、このコントロールの結果が変わる可能性があります。このような場合、すべてのリソースを記録しない場合は、新しいコントロールに関連付けられているリソースの記録を設定して、PASSED結果を受け取る必要があります。

Security Hub のセキュリティチェックは、すべてのリージョン AWS Config で を有効にし、それを必要とするコントロールのリソース記録を設定する場合にのみ、意図したとおりに機能します。

注記

Config.1 では AWS Config 、Security Hub を使用するすべてのリージョンで が有効になっている必要があります。

Security Hub はリージョンサービスであるため、このコントロールに対して実行されるチェックでは、アカウントの現在のリージョンのみが評価されます。

リージョン内の IAM グローバルリソースに対するセキュリティチェックを許可するには、そのリージョン内の IAM グローバルリソースを記録する必要があります。IAM グローバルリソースが記録されていないリージョンには、IAM グローバルリソースをチェックするコントロールのデフォルトのPASSED結果が表示されます。IAM グローバルリソースは 間で同じであるため AWS リージョン、IAM グローバルリソースはホームリージョンでのみ記録することをお勧めします (クロスリージョン集約がアカウントで有効になっている場合)。IAM リソースは、グローバルリソース記録が有効になっているリージョンでのみ記録されます。

AWS Config がサポートするグローバルに記録された IAM リソースタイプは、IAM ユーザー、グループ、ロール、カスタマー管理ポリシーです。グローバルリソースの記録がオフになっているリージョンでは、これらのリソースタイプをチェックする Security Hub コントロールを無効にすることをお勧めします。詳細については、「無効にする可能性のある Security Hub コントロール」を参照してください。

修正

コントロールごとに記録する必要があるリソースのリストについては、「」を参照してくださいAWS Config コントロールの検出結果を生成するために必要な リソース

アグリゲータの一部ではないホームリージョンおよびリージョンで、現在のリージョンで有効になっているコントロールに必要なすべてのリソースを記録します。これには、IAM グローバルリソースを必要とするコントロールを有効にしている場合、IAM グローバルリソースが含まれます。

リンクされたリージョンでは、現在のリージョンで有効になっているコントロールに対応するすべてのリソース AWS Config を記録する限り、任意の記録モードを使用できます。リンクされたリージョンで、IAM グローバルリソースの記録を必要とするコントロールが有効になっている場合、FAILED検出結果を受け取ることはできません (他のリソースの記録で十分です)。

リソースを記録するように有効に AWS Config して設定するには、「 AWS Config デベロッパーガイドAWS Config 」の「コンソールでのセットアップ」を参照してください。テンプレートを使用してこのプロセス AWS CloudFormation を自動化することもできます。詳細については、「 ユーザーガイド」のAWS CloudFormation StackSets 「サンプルテンプレートAWS CloudFormation 」を参照してください。