AWS Config を有効にして設定する - AWS Security Hub

AWS Config を有効にして設定する

AWS Security Hub は、サービスにリンクされた AWS Config ルールを使用して、ほとんどのコントロールのセキュリティチェックを実行します。

これらのコントロールをサポートするには、Security Hub が有効になっているリージョン毎に、管理者アカウントとメンバーアカウントの両方のアカウントで AWS Config を有効にする必要があります。AWS Config は、有効にした標準で必要とされるリソースが最低限記録されるように設定する必要があります。

Security Hub では、Security Hub 標準を有効にする前に AWS Config でリソース記録を有効にすることを推奨しています。リソース記録が有効になっていないときに Security Hub がセキュリティチェックを実行しようとすると、チェックはエラーを返します。

Security Hub がユーザーに代わって AWS Config を管理することはありません。すでに AWS Config が有効になっている場合は、引き続き AWS Config コンソールまたは API を介してその設定を継続します。

標準を有効にした後に AWS Config を有効にすると、Security Hub は AWS Config ルールを作成します。ただしこれは、標準を有効にしてから 31 日以内に AWS Config を有効にした場合のみです。AWS Config を 31 日以内に有効化しない場合、AWS Config を有効にした後に標準を無効にしてから再度有効にする必要があります。

標準を有効にした後、Security Hub は31日間に AWS Config ルールを最大 6 回作成しようと試みます。

  • 標準を有効にした当日

  • 標準を有効にした翌日

  • 標準を有効にしてから 3 日後

  • 標準を有効にしてから 7 日後

  • 標準を有効にしてから 15 日後

  • 標準を有効にしてから 31 日後

AWS Config を有効化する方法

まだ AWS Config を設定していない場合は、次のいずれかの方法で設定できます。

  1. コンソールまたは CLI — AWS Config コンソールまたは CLI を使用すれば AWS Config を手動で有効にできます。「AWS Config 開発者ガイド」の「AWS Config の開始方法」を参照してください。

  2. AWS CloudFormation テンプレート — AWS Organizations を統合しているか、または大量のアカウントで AWS Config を有効にしたい場合は、CloudFormation テンプレートでAWS Config を有効化すれば、AWS Config を簡単に有効にできます。このテンプレートにアクセスする方法については、AWS CloudFormation ユーザーガイドの「AWS CloudFormation StackSets サンプルテンプレート」を参照してください。このテンプレートの使用方法の詳細については、「Managing AWS Organizations accounts using AWS Config and AWS CloudFormation StackSets」を参照してください。

  3. Github スクリプト - Security Hub には、複数のリージョンで複数のアカウントを有効にできる GitHub のスクリプトが用意されています。このスクリプトは、Organizations と統合していない場合、あるいは、自分の組織に属さないアカウントがある場合などに有用です。このスクリプトを使用して Security Hub を有効にすると、それらのアカウントの AWS Config も自動的に有効になります。

AWS Config のリソース記録の設定

AWS Config のセットアップ中にリソースレコードを有効にすると、AWS Config は、実行されているリージョンで AWS Config が検出した、サポートされているすべてのリージョナルリソースのタイプを記録します。AWS Config を設定して、グローバルリソースのサポートされているタイプを記録することもできます。グローバルリソースは、1 つのリージョンでのみ記録します。

CloudFormation StackSets を使用して AWS Config を有効化している場合、2 つの異なる StackSets を実行することが推奨されます。1 つの StackSet を実行して、グローバルリソースを含むすべてのリソースを 1 つのリージョンに記録します。2 番目の StackSet を実行して、他のリージョンのグローバルリソース以外の、すべてのリソースを記録します。

また、AWS Systems Manager の一機能である Quick Setup を使用して、アカウントとリージョンを横断して、リソース記録を AWS Config ですばやく構成することもできます。Quick Setup の最中に、グローバルリソースを記録するリージョンを選択できます。詳細については、AWS Systems Manager ユーザーガイドの「AWS Config 記録」を参照してください。

すべてのリージョンでグローバルリソースを記録しない場合は、グローバルリソースを記録しないリージョンでこのコントロール 2.5 - AWS Config が有効になっていることを確認する を無効にする必要があります。グローバルリソースが記録されていないリージョンでは、CIS 2.5 で不合格の結果が生成されます。グローバルリソースが記録されないリージョンで、無効にするその他のコントロールの詳細については、次のトピックを参照してください。

なお、マルチアカウントスクリプトを使用して Security Hub を有効にした場合、グローバルリソースを含むすべてのリソースのリソース記録が、すべてのリージョンで自動的に有効になることにご注意ください。グローバルリソースの記録を 1 つのリージョンに制限するものではありません。その後、単一のリージョンのみでグローバルリソースを記録するように設定を更新できます。詳細については、「AWS Config 開発者ガイド」の「AWS Config が記録するリソースを選択する」を参照してください。

次のトピックでは、各標準に必要なリソースについて説明します。記録は、必要なリソースに対してのみ有効にできます。ただし、Security Hub は引き続き新しいコントロールを追加し、新しいリソースをサポートします。

リソースの記録に関連するコストの詳細については、「AWS Config の価格ページ」を参照してください。