コントロール検出結果の生成に必要な AWS Config リソース
AWS Security Hub は、Security Hub コントロールに対するセキュリティチェックを実行することによりコントロール検出結果を生成します。コントロールの中には、特定リソースへの準拠を評価する AWS Config ルールを使用するものもあります。スケジュールタイプが変更トリガーであるコントロールについて、Security Hub が検出結果を生成するためには、AWS Config で、必要なリソースの記録をオンにする必要があります。定期的スケジュールタイプの大半のコントロールのリソースを記録する必要はありません。ただし、定期的なコントロールの中には、コンプライアンスの変化を検出するためにリソースの記録を要求するものもあります。
このページでは、標準全体で必要なリソースのリストと、必要なリソースを標準ごとに分類したリストを示します。最初の表には、各リソースを使用する Security Hub コントロールも一覧表示されています。
AWS Config ルールに基づくセキュリティチェックによって検出結果が生成された場合、検出結果の詳細には関連する AWS Config ルールへの [ルール] リンクが含まれます。AWS Config ルールに移動するには、AWS Config ルールを表示するための IAM アクセス許可がアカウントに必要です。
注記
コントロールが使用できない AWS リージョン では、対応するリソースは AWS Config で利用できません。Security Hub コントロールに関するリージョン制限の一覧については、リージョン別のコントロールの可用性 を参照してください。
すべてのコントロールに必要な AWS Config リソース
AWS Config ルールを使用するコントロールがトリガーする有効な Security Hub の変更の検出結果について、Security Hub が検出結果を生成するためには、AWS Config でこれらのリソースを記録する必要があります。この表には、どのコントロールが特定のリソースを必要とするかも示されています。1 つのコントロールが複数のリソースを必要とする場合もあります。
| サービス | 必要なリソース | 関連するコントロール |
|---|---|---|
| Amazon API Gateway | AWS::ApiGateway::Stage |
APIGateway.1 APIGateway.2 APIGateway.3 APIGateway.4 APIGateway.5 |
AWS::ApiGatewayV2::Stage |
APIGateway.1 APIGateway.9 |
|
| AWS AppSync | AWS::AppSync::GraphQLApi
|
AppSync.2 AppSync.5 |
| Amazon Athena | AWS::Athena::WorkGroup |
Athena.1 |
| AWS Certificate Manager (ACM) | AWS::ACM::Certificate
|
ACM.1 ACM.2 |
| AWS CloudFormation | AWS::CloudFormation::Stack
|
CloudFormation.1 |
| Amazon CloudFront | AWS::CloudFront::Distribution
|
CloudFront.1 CloudFront.2 CloudFront.3 CloudFront.4 CloudFront.5 CloudFront.6 CloudFront.7 CloudFront.8 CloudFront.9 CloudFront.10 CloudFront.13 |
| Amazon CloudWatch | AWS::CloudWatch::Alarm
|
CloudWatch.15 CloudWatch.17 |
| AWS CodeBuild | AWS::CodeBuild::Project
|
CodeBuild.1 CodeBuild.2 CodeBuild.3 CodeBuild.4 CodeBuild.5 |
| AWS Database Migration Service (AWS DMS) | AWS::DMS::Endpoint |
DMS.9 |
AWS::DMS::ReplicationInstance
|
DMS.6 |
|
AWS::DMS::ReplicationTask |
DMS.7 DMS.8 |
|
| Amazon DynamoDB | AWS::DynamoDB::Table
|
DynamoDB.2 |
| Amazon Elastic Compute Cloud (EC2) | AWS::EC2::EIP |
EC2.12 |
AWS::EC2::Instance |
EC2.4 EC2.8 EC2.9 EC2.17 EC2.24 EC2.29 EMR.1 SSM.1 |
|
AWS::EC2::LaunchTemplate |
EC2.25 |
|
AWS::EC2::NetworkAcl |
EC2.16 EC2.21 |
|
AWS::EC2::NetworkInterface |
EC2.22 |
|
AWS::EC2::SecurityGroup |
EC2.2 EC2.13 EC2.14 EC2.18 EC2.19 |
|
AWS::EC2::Subnet |
EC2.15 ElastiCache.7 Lambda.5 |
|
AWS::EC2::TransitGateway |
EC2.23 |
|
AWS::EC2::VPNConnection |
EC2.20 |
|
AWS::EC2::Volume |
EC2.3 |
|
| Amazon EC2 Auto Scaling | AWS::AutoScaling::AutoScalingGroup |
AutoScaling.1 AutoScaling.2 AutoScaling.6 AutoScaling.9 |
AWS::AutoScaling::LaunchConfiguration |
AutoScaling.3 AutoScaling.4 Autoscaling.5 |
|
| Amazon EC2 Systems Manager (SSM) | AWS::SSM::AssociationCompliance |
SSM.3 |
AWS::SSM::PatchCompliance |
SSM.2 |
|
| Amazon Elastic Container Registry (Amazon ECR) | AWS::ECR::Repository |
ECR.2 ECR.3 |
| Amazon Elastic Container Service (Amazon ECS) | AWS::ECS::Cluster |
ECS.12 |
AWS::ECS::Service |
ECS.2 ECS.10 |
|
AWS::ECS::TaskDefinition |
ECS.1 ECS.3 ECS.4 ECS.5 ECS.8 ECS.9 |
|
| Amazon Elastic File System (Amazon EFS) | AWS::EFS::AccessPoint
|
EFS.3 EFS.4 |
| Amazon Elastic Kubernetes Service (Amazon EKS) | AWS::EKS::Cluster |
EKS.2 |
| AWS Elastic Beanstalk | AWS::ElasticBeanstalk::Environment
|
ElasticBeanstalk.1 ElasticBeanstalk.2 ElasticBeanstalk.3 |
| Elastic Load Balancing | AWS::ElasticLoadBalancing::LoadBalancer |
ELB.2 ELB.3 ELB.5 ELB.7 ELB.8 ELB.9 ELB.10 ELB.14 |
AWS::ElasticLoadBalancingV2::LoadBalancer |
ELB.4 ELB.5 ELB.6 ELB.12 ELB.13 ELB.16 |
|
| ElasticSearch | AWS::Elasticsearch::Domain |
ES.3 ES.4 ES.5 ES.6 ES.7 ES.8 |
| Amazon EventBridge | AWS::Events::EventBus |
EventBridge.3 |
AWS::Events::Endpoint |
EventBridge.4 |
|
| AWS Identity and Access Management (IAM) | AWS::IAM::Group |
IAM.18 KMS.2 |
AWS::IAM::Policy |
IAM.1 IAM.21 KMS.1 |
|
AWS::IAM::Role |
IAM.18 KMS.2 |
|
AWS::IAM::User |
IAM.2 IAM.18 KMS.2 |
|
| AWS Key Management Service (AWS KMS) | AWS::KMS::Key |
KMS.3 |
| Amazon Kinesis | AWS::Kinesis::Stream |
Kinesis.1 |
| AWS Lambda | AWS::Lambda::Function |
Lambda.1 Lambda.2 Lambda.3 Lambda.5 |
| Amazon MSK | AWS::MSK::Cluster |
MSK.1 |
| Amazon MQ | AWS::AmazonMQ::Broker |
MQ.5 MQ.6 |
| AWS Network Firewall | AWS::NetworkFirewall::Firewall |
NetworkFirewall.9 |
AWS::NetworkFirewall::FirewallPolicy |
NetworkFirewall.3 NetworkFirewall.4 NetworkFirewall.5 |
|
AWS::NetworkFirewall::RuleGroup |
NetworkFirewall.6 |
|
| Amazon OpenSearch Service | AWS::OpenSearch::Domain |
Opensearch.1 Opensearch.2 Opensearch.3 Opensearch.4 Opensearch.5 Opensearch.6 Opensearch.7 Opensearch.8 |
| Amazon Relational Database Service (Amazon RDS) | AWS::RDS::DBCluster |
DocumentDB.1 DocumentDB.2 DocumentDB.4 DocumentDB.5 Neptune.1 Neptune.2 Neptune.4 Neptune.5 Neptune.7 Neptune.8 RDS.7 RDS.12 RDS.14 RDS.15 RDS.16 RDS.24 RDS.27 RDS.34 RDS.35 |
AWS::RDS::DBClusterSnapshot |
DocumentDB.3 Neptune.3 Neptune.6 RDS.1 RDS.4 |
|
AWS::RDS::DBInstance |
RDS.2 RDS.3 RDS.5 RDS.6 RDS.8 RDS.9 RDS.10 RDS.11 RDS.13 RDS.17 RDS.18 RDS.23 RDS.25 |
|
AWS::RDS::DBSnapshot |
DocumentDB.3 RDS.1 RDS.4 |
|
AWS::RDS::EventSubscription |
RDS.19 RDS.20 RDS.21 RDS.22 |
|
| Amazon Redshift | AWS::Redshift::Cluster |
Redshift.1 Redshift.2 Redshift.3 Redshift.4 Redshift.6 Redshift.7 Redshift.8 Redshift.9 Redshift.10 |
| Amazon Route 53 | AWS::Route53::HostedZone |
Route53.2 |
| Amazon Simple Storage Service (Amazon S3) | AWS::S3::Bucket |
S3.2 S3.3 S3.4 S3.5 S3.6 S3.7 S3.8 S3.9 S3.10 S3.11 S3.12 S3.13 S3.14 S3.15 S3.17 |
| Amazon Simple Notification Service (Amazon SNS) | AWS::SNS::Topic
|
SNS.1 SNS.2 |
| Amazon Simple Queue Service (Amazon SQS) | AWS::SQS::Queue
|
SQS.1 |
| Amazon SageMaker | AWS::SageMaker::NotebookInstance
|
SageMaker.2 SageMaker.3 |
| AWS Secrets Manager | AWS::SecretsManager::Secret
|
SecretsManager.1 SecretsManager.2 |
| AWS Step Functions | AWS::StepFunctions::StateMachine
|
StepFunctions.1 |
| AWS WAF | AWS::WAF::Rule |
WAF.6 |
AWS::WAF::RuleGroup |
WAF.7 |
|
AWS::WAF::WebACL |
WAF.8 |
|
AWS::WAFRegional::Rule |
WAF.2 |
|
AWS::WAFRegional::RuleGroup |
WAF.3 |
|
AWS::WAFRegional::WebACL |
WAF.4 |
|
AWS::WAFv2::RuleGroup |
WAF.12 |
|
AWS::WAFv2::WebACL |
WAF.10 |
FSBP 標準に必要な AWS Config リソース
AWS Config ルールを使用する、有効化された AWS Foundations Security Best Practices (FSBP) 変更トリガーコントロールについて、Security Hub が正確に検出結果をレポートするためには、これらのリソースを AWS Config に記録する必要があります。この標準の詳細については、「AWS Foundational Security Best Practices (FSBP) 標準」を参照してください。
| サービス | 必要な リソース |
|---|---|
|
Amazon API Gateway |
|
|
AWS AppSync |
|
|
Amazon Athena |
|
|
AWS Certificate Manager (ACM) |
|
|
AWS CloudFormation |
|
|
Amazon CloudFront |
|
|
AWS CodeBuild |
|
|
AWS Database Migration Service (AWS DMS) |
|
|
Amazon DynamoDB |
|
|
Amazon EC2 Systems Manager (SSM) |
|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
Amazon EKS |
|
|
ElasticBeanstalk |
|
|
Elastic Load Balancing |
|
|
ElasticSearch |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Key Management Service (AWS KMS) |
|
|
Amazon Kinesis |
|
|
AWS Lambda |
|
|
Amazon MSK |
|
|
AWS Network Firewall |
|
|
Amazon OpenSearch Service |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Route 53 |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
|
Amazon SageMaker |
|
|
AWS Secrets Manager |
|
|
AWS Step Functions |
|
|
AWS WAF |
|
CIS AWS Foundations Benchmark に必要な AWS Config リソース
Center for Internet Security (CIS)AWS Foundations Benchmark v1.2.0 および v1.4.0 に適用される、有効化されたコントロールのセキュリティチェックを実行するため、Security Hub では「Amazon Web Services のセキュリティ保護
この標準の詳細については、「Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 および v1.4.0」を参照してください。
CIS v1.4.0 に必要な AWS Config リソース
AWS Config ルールを使用するコントロールがトリガーする有効な CIS v1.4.0 の変更の検出結果について、Security Hub が正確に検出結果をレポートするためには、AWS Config でこれらのリソースを記録する必要があります。
| サービス | 必要な リソース |
|---|---|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
AWS Identity and Access Management (IAM) |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
CIS v1.2.0 に必要な AWS Config リソース
AWS Config ルールを使用するコントロールがトリガーする有効な CIS v1.2.0 の変更の検出結果について、Security Hub が正確に検出結果をレポートするためには、AWS Config でこれらのリソースを記録する必要があります。
| サービス | 必要な リソース |
|---|---|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
AWS Identity and Access Management (IAM) |
|
NIST SP 800-53 Rev. 5 に必要な AWS Config リソース
Security Hub が、AWS Config ルールを使用する、有効な米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 の変更がトリガーされたコントロールの検出結果を正確に報告するには、AWS Config のこれらのリソースを記録する必要があります。リソースを記録する必要があるのは、変更がトリガーされたスケジュールタイプのあるコントロールのリソースだけです。この標準の詳細については、「米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5」を参照してください。
| サービス | 必要な リソース |
|---|---|
|
Amazon API Gateway |
|
|
AWS AppSync |
|
|
Amazon Athena |
|
|
AWS Certificate Manager (ACM) |
|
|
AWS CloudFormation |
|
|
Amazon CloudFront |
|
|
Amazon CloudWatch |
|
|
AWS CodeBuild |
|
|
AWS Database Migration Service (AWS DMS) |
|
|
Amazon DynamoDB |
|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
Amazon EKS |
|
|
ElasticBeanstalk |
|
|
Elastic Load Balancing |
|
|
ElasticSearch |
|
|
Amazon EventBridge |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Key Management Service (AWS KMS) |
|
|
Amazon Kinesis |
|
|
AWS Lambda |
|
|
Amazon MSK |
|
|
Amazon MQ |
|
|
AWS Network Firewall |
|
|
Amazon OpenSearch Service |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Route 53 |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
|
Amazon EC2 Systems Manager (SSM) |
|
|
Amazon SageMaker |
|
|
AWS Secrets Manager |
|
|
AWS WAF |
|
PCI DSS に必要な AWS Config リソース
AWS Config ルールを使用する有効な Payment Card Industry Data Security Standard (PCI DSS) コントロールの検出結果を Security Hub が正確にレポートするためには、AWS Config のこれらのリソースを記録する必要があります。この標準の詳細については、「Payment Card Industry Data Security Standard (PCI DSS)」を参照してください。
| サービス | 必要な リソース |
|---|---|
|
AWS CodeBuild |
|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Lambda |
|
|
Amazon OpenSearch Service |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
Amazon EC2 Systems Manager (SSM) |
|
サービスマネージド標準に必要な AWS Config リソース: AWS Control Tower
AWS Config ルールを使用するコントロールがトリガーする有効なサービスマネージド標準: AWS Control Tower の変更の検出結果について、Security Hub が正確に検出結果をレポートするためには、AWS Config で以下のリソースを記録する必要があります。この標準の詳細については、「サービスマネージドスタンダード: AWS Control Tower」を参照してください。
| サービス | 必要な リソース |
|---|---|
|
Amazon API Gateway |
|
|
AWS Certificate Manager (ACM) |
|
|
AWS CodeBuild |
|
|
Amazon DynamoDB |
|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
Amazon EKS |
|
|
ElasticBeanstalk |
|
|
Elastic Load Balancing |
|
|
ElasticSearch |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Key Management Service (AWS KMS) |
|
|
Amazon Kinesis |
|
|
AWS Lambda |
|
|
AWS Network Firewall |
|
|
Amazon OpenSearch Service |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
|
Amazon EC2 Systems Manager (SSM) |
|
|
AWS Secrets Manager |
|
|
AWS WAF |
|
