コントロール検出結果の生成に必要な AWS Config リソース - AWS Security Hub

コントロール検出結果の生成に必要な AWS Config リソース

AWS Security Hub は、Security Hub コントロールに対するセキュリティチェックを実行することによりコントロール検出結果を生成します。コントロールの中には、特定リソースへの準拠を評価する AWS Config ルールを使用するものもあります。スケジュールタイプが変更トリガーであるコントロールについて、Security Hub が検出結果を生成するためには、AWS Config で、必要なリソースの記録をオンにする必要があります。定期的スケジュールタイプの大半のコントロールのリソースを記録する必要はありません。ただし、定期的なコントロールの中には、コンプライアンスの変化を検出するためにリソースの記録を要求するものもあります。

このページでは、標準全体で必要なリソースのリストと、必要なリソースを標準ごとに分類したリストを示します。最初の表には、各リソースを使用する Security Hub コントロールも一覧表示されています。

AWS Config ルールに基づくセキュリティチェックによって検出結果が生成された場合、検出結果の詳細には関連する AWS Config ルールへの [ルール] リンクが含まれます。AWS Config ルールに移動するには、AWS Config ルールを表示するための IAM アクセス許可がアカウントに必要です。

注記

コントロールが使用できない AWS リージョン では、対応するリソースは AWS Config で利用できません。Security Hub コントロールに関するリージョン制限の一覧については、リージョン別のコントロールの可用性 を参照してください。

すべてのコントロールに必要な AWS Config リソース

AWS Config ルールを使用するコントロールがトリガーする有効な Security Hub の変更の検出結果について、Security Hub が検出結果を生成するためには、AWS Config でこれらのリソースを記録する必要があります。この表には、どのコントロールが特定のリソースを必要とするかも示されています。1 つのコントロールが複数のリソースを必要とする場合もあります。

サービス 必要なリソース 関連するコントロール
Amazon API Gateway AWS::ApiGateway::Stage

APIGateway.1

APIGateway.2

APIGateway.3

APIGateway.4

APIGateway.5

AWS::ApiGatewayV2::Stage

APIGateway.1

APIGateway.9

AWS AppSync AWS::AppSync::GraphQLApi

AppSync.2

AppSync.5

Amazon Athena AWS::Athena::WorkGroup Athena.1
AWS Certificate Manager (ACM) AWS::ACM::Certificate

ACM.1

ACM.2

AWS CloudFormation AWS::CloudFormation::Stack

CloudFormation.1

Amazon CloudFront AWS::CloudFront::Distribution

CloudFront.1

CloudFront.2

CloudFront.3

CloudFront.4

CloudFront.5

CloudFront.6

CloudFront.7

CloudFront.8

CloudFront.9

CloudFront.10

CloudFront.13

Amazon CloudWatch AWS::CloudWatch::Alarm

CloudWatch.15

CloudWatch.17

AWS CodeBuild AWS::CodeBuild::Project

CodeBuild.1

CodeBuild.2

CodeBuild.3

CodeBuild.4

CodeBuild.5

AWS Database Migration Service (AWS DMS) AWS::DMS::Endpoint

DMS.9

AWS::DMS::ReplicationInstance

DMS.6

AWS::DMS::ReplicationTask

DMS.7

DMS.8

Amazon DynamoDB AWS::DynamoDB::Table

DynamoDB.2

Amazon Elastic Compute Cloud (EC2) AWS::EC2::EIP

EC2.12

AWS::EC2::Instance

EC2.4

EC2.8

EC2.9

EC2.17

EC2.24

EC2.29

EMR.1

SSM.1

AWS::EC2::LaunchTemplate

EC2.25

AWS::EC2::NetworkAcl

EC2.16

EC2.21

AWS::EC2::NetworkInterface

EC2.22

AWS::EC2::SecurityGroup

EC2.2

EC2.13

EC2.14

EC2.18

EC2.19

AWS::EC2::Subnet

EC2.15

ElastiCache.7

Lambda.5

AWS::EC2::TransitGateway

EC2.23

AWS::EC2::VPNConnection

EC2.20

AWS::EC2::Volume

EC2.3

Amazon EC2 Auto Scaling AWS::AutoScaling::AutoScalingGroup

AutoScaling.1

AutoScaling.2

AutoScaling.6

AutoScaling.9

AWS::AutoScaling::LaunchConfiguration

AutoScaling.3

AutoScaling.4

Autoscaling.5

Amazon EC2 Systems Manager (SSM) AWS::SSM::AssociationCompliance

SSM.3

AWS::SSM::PatchCompliance

SSM.2

Amazon Elastic Container Registry (Amazon ECR) AWS::ECR::Repository

ECR.2

ECR.3

Amazon Elastic Container Service (Amazon ECS) AWS::ECS::Cluster

ECS.12

AWS::ECS::Service

ECS.2

ECS.10

AWS::ECS::TaskDefinition

ECS.1

ECS.3

ECS.4

ECS.5

ECS.8

ECS.9

Amazon Elastic File System (Amazon EFS) AWS::EFS::AccessPoint

EFS.3

EFS.4

Amazon Elastic Kubernetes Service (Amazon EKS) AWS::EKS::Cluster

EKS.2

AWS Elastic Beanstalk AWS::ElasticBeanstalk::Environment

ElasticBeanstalk.1

ElasticBeanstalk.2

ElasticBeanstalk.3

Elastic Load Balancing AWS::ElasticLoadBalancing::LoadBalancer

ELB.2

ELB.3

ELB.5

ELB.7

ELB.8

ELB.9

ELB.10

ELB.14

AWS::ElasticLoadBalancingV2::LoadBalancer

ELB.4

ELB.5

ELB.6

ELB.12

ELB.13

ELB.16

ElasticSearch AWS::Elasticsearch::Domain

ES.3

ES.4

ES.5

ES.6

ES.7

ES.8

Amazon EventBridge AWS::Events::EventBus

EventBridge.3

AWS::Events::Endpoint

EventBridge.4

AWS Identity and Access Management (IAM) AWS::IAM::Group

IAM.18

KMS.2

AWS::IAM::Policy

IAM.1

IAM.21

KMS.1

AWS::IAM::Role

IAM.18

KMS.2

AWS::IAM::User

IAM.2

IAM.18

KMS.2

AWS Key Management Service (AWS KMS) AWS::KMS::Key

KMS.3

Amazon Kinesis AWS::Kinesis::Stream

Kinesis.1

AWS Lambda AWS::Lambda::Function

Lambda.1

Lambda.2

Lambda.3

Lambda.5

Amazon MSK AWS::MSK::Cluster

MSK.1

Amazon MQ AWS::AmazonMQ::Broker

MQ.5

MQ.6

AWS Network Firewall AWS::NetworkFirewall::Firewall

NetworkFirewall.9

AWS::NetworkFirewall::FirewallPolicy

NetworkFirewall.3

NetworkFirewall.4

NetworkFirewall.5

AWS::NetworkFirewall::RuleGroup

NetworkFirewall.6

Amazon OpenSearch Service AWS::OpenSearch::Domain

Opensearch.1

Opensearch.2

Opensearch.3

Opensearch.4

Opensearch.5

Opensearch.6

Opensearch.7

Opensearch.8

Amazon Relational Database Service (Amazon RDS) AWS::RDS::DBCluster

DocumentDB.1

DocumentDB.2

DocumentDB.4

DocumentDB.5

Neptune.1

Neptune.2

Neptune.4

Neptune.5

Neptune.7

Neptune.8

RDS.7

RDS.12

RDS.14

RDS.15

RDS.16

RDS.24

RDS.27

RDS.34

RDS.35

AWS::RDS::DBClusterSnapshot

DocumentDB.3

Neptune.3

Neptune.6

RDS.1

RDS.4

AWS::RDS::DBInstance

RDS.2

RDS.3

RDS.5

RDS.6

RDS.8

RDS.9

RDS.10

RDS.11

RDS.13

RDS.17

RDS.18

RDS.23

RDS.25

AWS::RDS::DBSnapshot

DocumentDB.3

RDS.1

RDS.4

AWS::RDS::EventSubscription

RDS.19

RDS.20

RDS.21

RDS.22

Amazon Redshift AWS::Redshift::Cluster

Redshift.1

Redshift.2

Redshift.3

Redshift.4

Redshift.6

Redshift.7

Redshift.8

Redshift.9

Redshift.10

Amazon Route 53 AWS::Route53::HostedZone

Route53.2

Amazon Simple Storage Service (Amazon S3) AWS::S3::Bucket

S3.2

S3.3

S3.4

S3.5

S3.6

S3.7

S3.8

S3.9

S3.10

S3.11

S3.12

S3.13

S3.14

S3.15

S3.17

Amazon Simple Notification Service (Amazon SNS) AWS::SNS::Topic

SNS.1

SNS.2

Amazon Simple Queue Service (Amazon SQS) AWS::SQS::Queue

SQS.1

Amazon SageMaker AWS::SageMaker::NotebookInstance

SageMaker.2

SageMaker.3

AWS Secrets Manager AWS::SecretsManager::Secret

SecretsManager.1

SecretsManager.2

AWS Step Functions AWS::StepFunctions::StateMachine

StepFunctions.1

AWS WAF AWS::WAF::Rule

WAF.6

AWS::WAF::RuleGroup

WAF.7

AWS::WAF::WebACL

WAF.8

AWS::WAFRegional::Rule

WAF.2

AWS::WAFRegional::RuleGroup

WAF.3

AWS::WAFRegional::WebACL

WAF.4

AWS::WAFv2::RuleGroup

WAF.12

AWS::WAFv2::WebACL

WAF.10

FSBP 標準に必要な AWS Config リソース

AWS Config ルールを使用する、有効化された AWS Foundations Security Best Practices (FSBP) 変更トリガーコントロールについて、Security Hub が正確に検出結果をレポートするためには、これらのリソースを AWS Config に記録する必要があります。この標準の詳細については、「AWS Foundational Security Best Practices (FSBP) 標準」を参照してください。

サービス 必要な リソース

Amazon API Gateway

AWS::ApiGateway::Stage

AWS::ApiGatewayV2::Stage

AWS AppSync

AWS::AppSync::GraphQLApi

Amazon Athena

AWS::Athena::WorkGroup

AWS Certificate Manager (ACM)

AWS::ACM::Certificate

AWS CloudFormation

AWS::CloudFormation::Stack

Amazon CloudFront

AWS::CloudFront::Distribution

AWS CodeBuild

AWS::CodeBuild::Project

AWS Database Migration Service (AWS DMS)

AWS::DMS::Endpoint

AWS::DMS::ReplicationInstance

AWS::DMS::ReplicationTask

Amazon DynamoDB

AWS::DynamoDB::Table

Amazon EC2 Systems Manager (SSM)

AWS::SSM::AssociationCompliance

AWS::SSM::PatchCompliance

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::Instance

AWS::EC2::LaunchTemplate

AWS::EC2::NetworkAcl

AWS::EC2::NetworkInterface

AWS::EC2::SecurityGroup

AWS::EC2::Subnet

AWS::EC2::TransitGateway

AWS::EC2::VPNConnection

AWS::EC2::Volume

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup

AWS::AutoScaling::LaunchConfiguration

Amazon Elastic Container Registry (Amazon ECR)

AWS::ECR::Repository

Amazon Elastic Container Service (Amazon ECS)

AWS::ECS::Cluster

AWS::ECS::Service

AWS::ECS::TaskDefinition

Amazon Elastic File System (Amazon EFS)

AWS::EFS::AccessPoint

Amazon EKS

AWS::EKS::Cluster

ElasticBeanstalk

AWS::ElasticBeanstalk::Environment

Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer

AWS::ElasticLoadBalancingV2::LoadBalancer

ElasticSearch

AWS::Elasticsearch::Domain

AWS Identity and Access Management (IAM)

AWS::IAM::Group

AWS::IAM::Policy

AWS::IAM::Role

AWS::IAM::User

AWS Key Management Service (AWS KMS)

AWS::KMS::Key

Amazon Kinesis

AWS::Kinesis::Stream

AWS Lambda

AWS::Lambda::Function

Amazon MSK

AWS::MSK::Cluster

AWS Network Firewall

AWS::NetworkFirewall::Firewall

AWS::NetworkFirewall::FirewallPolicy

AWS::NetworkFirewall::RuleGroup

Amazon OpenSearch Service

AWS::OpenSearch::Domain

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBCluster

AWS::RDS::DBClusterSnapshot

AWS::RDS::DBInstance

AWS::RDS::DBSnapshot

AWS::RDS::EventSubscription

Amazon Redshift

AWS::Redshift::Cluster

Amazon Route 53

AWS::Route53::HostedZone

Amazon Simple Storage Service (Amazon S3)

AWS::S3::Bucket

Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic

Amazon Simple Queue Service (Amazon SQS)

AWS::SQS::Queue

Amazon SageMaker

AWS::SageMaker::NotebookInstance

AWS Secrets Manager

AWS::SecretsManager::Secret

AWS Step Functions

AWS::StepFunctions::StateMachine

AWS WAF

AWS::WAF::Rule

AWS::WAF::RuleGroup

AWS::WAF::WebACL

AWS::WAFRegional::Rule

AWS::WAFRegional::RuleGroup

AWS::WAFRegional::WebACL

AWS::WAFv2::RuleGroup

AWS::WAFv2::WebACL

CIS AWS Foundations Benchmark に必要な AWS Config リソース

Center for Internet Security (CIS)AWS Foundations Benchmark v1.2.0 および v1.4.0 に適用される、有効化されたコントロールのセキュリティチェックを実行するため、Security Hub では「Amazon Web Services のセキュリティ保護」のチェック項目に規定されているとおりの監査ステップを実行するか、特定の AWS Config マネージドルールを使用します。

この標準の詳細については、「Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 および v1.4.0」を参照してください。

CIS v1.4.0 に必要な AWS Config リソース

AWS Config ルールを使用するコントロールがトリガーする有効な CIS v1.4.0 の変更の検出結果について、Security Hub が正確に検出結果をレポートするためには、AWS Config でこれらのリソースを記録する必要があります。

サービス 必要な リソース

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::NetworkAcl

AWS::EC2::SecurityGroup

AWS Identity and Access Management (IAM)

AWS::IAM::Policy

AWS::IAM::User

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBInstance

Amazon Simple Storage Service (Amazon S3)

AWS::S3::Bucket

CIS v1.2.0 に必要な AWS Config リソース

AWS Config ルールを使用するコントロールがトリガーする有効な CIS v1.2.0 の変更の検出結果について、Security Hub が正確に検出結果をレポートするためには、AWS Config でこれらのリソースを記録する必要があります。

サービス 必要な リソース

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::SecurityGroup

AWS Identity and Access Management (IAM)

AWS::IAM::Policy

AWS::IAM::User

NIST SP 800-53 Rev. 5 に必要な AWS Config リソース

Security Hub が、AWS Config ルールを使用する、有効な米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 の変更がトリガーされたコントロールの検出結果を正確に報告するには、AWS Config のこれらのリソースを記録する必要があります。リソースを記録する必要があるのは、変更がトリガーされたスケジュールタイプのあるコントロールのリソースだけです。この標準の詳細については、「米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5」を参照してください。

サービス 必要な リソース

Amazon API Gateway

AWS::ApiGateway::Stage

AWS::ApiGatewayV2::Stage

AWS AppSync

AWS::AppSync::GraphQLApi

Amazon Athena

AWS::Athena::WorkGroup

AWS Certificate Manager (ACM)

AWS::ACM::Certificate

AWS CloudFormation

AWS::CloudFormation::Stack

Amazon CloudFront

AWS::CloudFront::Distribution

Amazon CloudWatch

AWS::CloudWatch::Alarm

AWS CodeBuild

AWS::CodeBuild::Project

AWS Database Migration Service (AWS DMS)

AWS::DMS::Endpoint

AWS::DMS::ReplicationInstance

AWS::DMS::ReplicationTask

Amazon DynamoDB

AWS::DynamoDB::Table

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::EIP

AWS::EC2::Instance

AWS::EC2::LaunchTemplate

AWS::EC2::NetworkAcl

AWS::EC2::NetworkInterface

AWS::EC2::SecurityGroup

AWS::EC2::Subnet

AWS::EC2::TransitGateway

AWS::EC2::VPNConnection

AWS::EC2::Volume

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup

AWS::AutoScaling::LaunchConfiguration

Amazon Elastic Container Registry (Amazon ECR)

AWS::ECR::Repository

Amazon Elastic Container Service (Amazon ECS)

AWS::ECS::Cluster

AWS::ECS::Service

AWS::ECS::TaskDefinition

Amazon Elastic File System (Amazon EFS)

AWS::EFS::AccessPoint

Amazon EKS

AWS::EKS::Cluster

ElasticBeanstalk

AWS::ElasticBeanstalk::Environment

Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer

AWS::ElasticLoadBalancingV2::LoadBalancer

ElasticSearch

AWS::Elasticsearch::Domain

Amazon EventBridge

AWS::Events::Endpoint

AWS::Events::EventBus

AWS Identity and Access Management (IAM)

AWS::IAM::Group

AWS::IAM::Policy

AWS::IAM::Role

AWS::IAM::User

AWS Key Management Service (AWS KMS)

AWS::KMS::Key

Amazon Kinesis

AWS::Kinesis::Stream

AWS Lambda

AWS::Lambda::Function

Amazon MSK

AWS::MSK::Cluster

Amazon MQ

AWS::AmazonMQ::Broker

AWS Network Firewall

AWS::NetworkFirewall::Firewall

AWS::NetworkFirewall::FirewallPolicy

AWS::NetworkFirewall::RuleGroup

Amazon OpenSearch Service

AWS::OpenSearch::Domain

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBCluster

AWS::RDS::DBClusterSnapshot

AWS::RDS::DBInstance

AWS::RDS::DBSnapshot

AWS::RDS::EventSubscription

Amazon Redshift

AWS::Redshift::Cluster

Amazon Route 53

AWS::Route53::HostedZone

Amazon Simple Storage Service (Amazon S3)

AWS::S3::Bucket

Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic

Amazon Simple Queue Service (Amazon SQS)

AWS::SQS::Queue

Amazon EC2 Systems Manager (SSM)

AWS::SSM::AssociationCompliance

AWS::SSM::PatchCompliance

Amazon SageMaker

AWS::SageMaker::NotebookInstance

AWS Secrets Manager

AWS::SecretsManager::Secret

AWS WAF

AWS::WAF::Rule

AWS::WAF::RuleGroup

AWS::WAF::WebACL

AWS::WAFRegional::Rule

AWS::WAFRegional::RuleGroup

AWS::WAFRegional::WebACL

AWS::WAFv2::RuleGroup

AWS::WAFv2::WebACL

PCI DSS に必要な AWS Config リソース

AWS Config ルールを使用する有効な Payment Card Industry Data Security Standard (PCI DSS) コントロールの検出結果を Security Hub が正確にレポートするためには、AWS Config のこれらのリソースを記録する必要があります。この標準の詳細については、「Payment Card Industry Data Security Standard (PCI DSS)」を参照してください。

サービス 必要な リソース

AWS CodeBuild

AWS::CodeBuild::Project

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::EIP

AWS::EC2::Instance

AWS::EC2::SecurityGroup

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup

AWS Identity and Access Management (IAM)

AWS::IAM::Policy

AWS::IAM::User

AWS Lambda

AWS::Lambda::Function

Amazon OpenSearch Service

AWS::OpenSearch::Domain

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBClusterSnapshot

AWS::RDS::DBInstance

AWS::RDS::DBSnapshot

Amazon Redshift

AWS::Redshift::Cluster

Amazon Simple Storage Service (Amazon S3)

AWS::S3::Bucket

Amazon EC2 Systems Manager (SSM)

AWS::SSM::AssociationCompliance

AWS::SSM::PatchCompliance

サービスマネージド標準に必要な AWS Config リソース: AWS Control Tower

AWS Config ルールを使用するコントロールがトリガーする有効なサービスマネージド標準: AWS Control Tower の変更の検出結果について、Security Hub が正確に検出結果をレポートするためには、AWS Config で以下のリソースを記録する必要があります。この標準の詳細については、「サービスマネージドスタンダード: AWS Control Tower」を参照してください。

サービス 必要な リソース

Amazon API Gateway

AWS::ApiGateway::Stage

AWS::ApiGatewayV2::Stage

AWS Certificate Manager (ACM)

AWS::ACM::Certificate

AWS CodeBuild

AWS::CodeBuild::Project

Amazon DynamoDB

AWS::DynamoDB::Table

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::Instance

AWS::EC2::NetworkAcl

AWS::EC2::NetworkInterface

AWS::EC2::SecurityGroup

AWS::EC2::Subnet

AWS::EC2::VPNConnection

AWS::EC2::Volume

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup

AWS::AutoScaling::LaunchConfiguration

Amazon Elastic Container Registry (Amazon ECR)

AWS::ECR::Repository

Amazon Elastic Container Service (Amazon ECS)

AWS::ECS::Cluster

AWS::ECS::Service

AWS::ECS::TaskDefinition

Amazon Elastic File System (Amazon EFS)

AWS::EFS::AccessPoint

Amazon EKS

AWS::EKS::Cluster

ElasticBeanstalk

AWS::ElasticBeanstalk::Environment

Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer

AWS::ElasticLoadBalancingV2::LoadBalancer

ElasticSearch

AWS::Elasticsearch::Domain

AWS Identity and Access Management (IAM)

AWS::IAM::Group

AWS::IAM::Policy

AWS::IAM::Role

AWS::IAM::User

AWS Key Management Service (AWS KMS)

AWS::KMS::Key

Amazon Kinesis

AWS::Kinesis::Stream

AWS Lambda

AWS::Lambda::Function

AWS Network Firewall

AWS::NetworkFirewall::FirewallPolicy

AWS::NetworkFirewall::RuleGroup

Amazon OpenSearch Service

AWS::OpenSearch::Domain

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBClusterSnapshot

AWS::RDS::DBInstance

AWS::RDS::DBSnapshot

AWS::RDS::EventSubscription

Amazon Redshift

AWS::Redshift::Cluster

Amazon Simple Storage Service (Amazon S3)

AWS::S3::Bucket

Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic

Amazon Simple Queue Service (Amazon SQS)

AWS::SQS::Queue

Amazon EC2 Systems Manager (SSM)

AWS::SSM::AssociationCompliance

AWS::SSM::PatchCompliance

AWS Secrets Manager

AWS::SecretsManager::Secret

AWS WAF

AWS::WAFRegional::Rule

AWS::WAFRegional::RuleGroup

AWS::WAFRegional::WebACL

AWS::WAFv2::WebACL