翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config 統制結果の生成に必要なリソース
AWS Security Hub Security Hub コントロールに対してセキュリティチェックを実行することにより、統制結果を生成します。一部の統制では、 AWS Config 特定のリソースへの準拠を評価するルールを使用しています。スケジュールタイプが変更トリガーであるコントロールについて、Security Hub が検出結果を生成するためには、 AWS Configで、必要なリソースの記録をオンにする必要があります。定期的スケジュールタイプの大半のコントロールのリソースを記録する必要はありません。ただし、定期的なコントロールの中には、コンプライアンスの変化を検出するためにリソースの記録を要求するものもあります。
このページでは、標準全体で必要なリソースのリストと、必要なリソースを標準ごとに分類したリストを示します。最初の表には、各リソースを使用する Security Hub コントロールも一覧表示されています。
AWS Config ルールに基づくセキュリティチェックによって結果が生成された場合、 AWS Config 結果の詳細には関連するルールへのルールリンクが含まれます。ルールに移動するには、 AWS Config AWS Config アカウントにルールを表示するための IAM 権限が必要です。
注記
コントロールが利用できない場合、 AWS Config対応するリソースはで利用できません。 AWS リージョン Security Hub コントロールに関するリージョン制限の一覧については、リージョン別のコントロールの可用性 を参照してください。
AWS Config すべての統制に必要なリソース
Security Hub AWS Config でルールを使用する Security Hub 変更トリガーコントロールの結果を生成するには、これらのリソースをに記録する必要があります AWS Config。この表には、どのコントロールが特定のリソースを必要とするかも示されています。1 つのコントロールが複数のリソースを必要とする場合もあります。
| サービス | 必要なリソース | 関連するコントロール |
|---|---|---|
| Amazon API Gateway | AWS::ApiGateway::Stage |
APIGateway.1 APIGateway.2 APIGateway.3 APIGateway.4 APIGateway.5 |
AWS::ApiGatewayV2::Stage |
APIGateway.1 APIGateway.9 |
|
| AWS AppSync | AWS::AppSync::GraphQLApi
|
AppSync2. AppSync.5 |
| Amazon Athena | AWS::Athena::WorkGroup |
Athena.1 |
| AWS Backup (AWS Backup) | AWS::Backup::RecoveryPoint
|
Backup.1 |
| AWS Certificate Manager (カム) | AWS::ACM::Certificate
|
ACM.1 ACM.2 |
| AWS CloudFormation | AWS::CloudFormation::Stack
|
CloudFormation1. |
| Amazon CloudFront | AWS::CloudFront::Distribution
|
CloudFront1. CloudFront.3 CloudFront4. CloudFront.5 CloudFront6. CloudFront.7 CloudFront.8 CloudFront.9 CloudFront.10 CloudFront.13 |
| Amazon CloudWatch | AWS::CloudWatch::Alarm
|
CloudWatch.15 CloudWatch.17 |
| AWS CodeBuild | AWS::CodeBuild::Project
|
CodeBuild.1 CodeBuild.2 CodeBuild.3 CodeBuild4. CodeBuild.5 |
| AWS Database Migration Service (AWS DMS) | AWS::DMS::Endpoint |
DMS.9 |
AWS::DMS::ReplicationInstance
|
DMS.6 |
|
AWS::DMS::ReplicationTask |
DMS.7 DMS.8 |
|
| Amazon DynamoDB | AWS::DynamoDB::Table
|
DynamoDB.2 DynamoDB.6 |
| Amazon Elastic Compute Cloud (EC2) | AWS::EC2::ClientVpnEndpoint |
EC2.51 |
AWS::EC2::EIP |
EC2.12 |
|
AWS::EC2::Instance |
EC2.4 EC2.8 EC2.9 EC2.17 EC2.24 EMR.1 SSM.1 |
|
AWS::EC2::LaunchTemplate |
EC2.25 |
|
AWS::EC2::NetworkAcl |
EC2.16 EC2.21 |
|
AWS::EC2::NetworkInterface |
EC2.22 |
|
AWS::EC2::SecurityGroup |
EC2.2 EC2.13 EC2.14 EC2.18 EC2.19 |
|
AWS::EC2::Subnet |
EC2.15 ElastiCache.7 Lambda.5 |
|
AWS::EC2::TransitGateway |
EC2.23 |
|
AWS::EC2::VPNConnection |
EC2.20 |
|
AWS::EC2::Volume |
EC2.3 |
|
| Amazon EC2 Auto Scaling | AWS::AutoScaling::AutoScalingGroup |
AutoScaling.1 AutoScaling.2 AutoScaling6. AutoScaling.9 |
AWS::AutoScaling::LaunchConfiguration |
AutoScaling3. AutoScaling4. Autoscaling.5 |
|
| Amazon EC2 Systems Manager (SSM) | AWS::SSM::AssociationCompliance |
SSM.3 |
AWS::SSM::ManagedInstanceInventory |
SSM.1 |
|
AWS::SSM::PatchCompliance |
SSM.2 |
|
| Amazon Elastic Container Registry (Amazon ECR) | AWS::ECR::Repository |
ECR.2 ECR.3 |
| Amazon Elastic Container Service (Amazon ECS) | AWS::ECS::Cluster |
ECS.12 |
AWS::ECS::Service |
ECS.2 ECS.10 |
|
AWS::ECS::TaskDefinition |
ECS.1 ECS.3 ECS.4 ECS.5 ECS.8 ECS.9 |
|
| Amazon Elastic File System (Amazon EFS) | AWS::EFS::AccessPoint
|
EFS.3 EFS.4 |
| Amazon Elastic Kubernetes Service (Amazon EKS) | AWS::EKS::Cluster |
EKS.2 |
| AWS Elastic Beanstalk | AWS::ElasticBeanstalk::Environment
|
ElasticBeanstalk.1 ElasticBeanstalk.2 ElasticBeanstalk.3 |
| Elastic Load Balancing | AWS::ElasticLoadBalancing::LoadBalancer |
ELB.2 ELB.3 ELB.5 ELB.7 ELB.8 ELB.9 ELB.10 ELB.14 |
AWS::ElasticLoadBalancingV2::LoadBalancer |
ELB.4 ELB.5 ELB.6 ELB.12 ELB.13 ELB.16 |
|
| ElasticSearch | AWS::Elasticsearch::Domain |
ES.3 ES.4 ES.5 ES.6 ES.7 ES.8 |
| Amazon EventBridge | AWS::Events::EventBus |
EventBridge3. |
AWS::Events::Endpoint |
EventBridge4. |
|
Amazon FSx |
AWS::FSx::FileSystem |
FSx.1 |
| AWS Identity and Access Management (アイアム) | AWS::IAM::Group |
IAM.18 KMS.2 |
AWS::IAM::Policy |
IAM.1 IAM.21 KMS.1 |
|
AWS::IAM::Role |
IAM.18 KMS.2 |
|
AWS::IAM::User |
IAM.2 IAM.18 KMS.2 |
|
| AWS Key Management Service (AWS KMS) | AWS::KMS::Key |
KMS.3 |
| Amazon Kinesis | AWS::Kinesis::Stream |
Kinesis.1 |
| AWS Lambda | AWS::Lambda::Function |
Lambda.1 Lambda.2 Lambda.3 Lambda.5 |
| Amazon MSK | AWS::MSK::Cluster |
MSK.1 MSK.2 |
| Amazon MQ | AWS::AmazonMQ::Broker |
MQ.5 MQ.6 |
| AWS Network Firewall | AWS::NetworkFirewall::Firewall |
NetworkFirewall1. NetworkFirewall.9 |
AWS::NetworkFirewall::FirewallPolicy |
NetworkFirewall3. NetworkFirewall4. NetworkFirewall.5 |
|
AWS::NetworkFirewall::RuleGroup |
NetworkFirewall6. |
|
| Amazon OpenSearch サービス | AWS::OpenSearch::Domain |
Opensearch.1 Opensearch.2 Opensearch.3 Opensearch.4 Opensearch.5 Opensearch.6 Opensearch.7 Opensearch.8 OpenSearch.10 |
| Amazon Relational Database Service (Amazon RDS) | AWS::RDS::DBCluster |
DocumentDB.1 DocumentDB.2 DocumentDB.4 DocumentDB.5 Neptune.1 Neptune.2 Neptune.4 Neptune.5 Neptune.7 Neptune.8 Neptune.9 RDS.7 RDS.12 RDS.14 RDS.15 RDS.16 RDS.24 RDS.27 RDS.34 RDS.35 |
AWS::RDS::DBClusterSnapshot |
DocumentDB.3 Neptune.3 Neptune.6 RDS.1 RDS.4 |
|
AWS::RDS::DBInstance |
RDS.2 RDS.3 RDS.5 RDS.6 RDS.8 RDS.9 RDS.10 RDS.11 RDS.13 RDS.17 RDS.18 RDS.23 RDS.25 |
|
AWS::RDS::DBSnapshot |
DocumentDB.3 RDS.1 RDS.4 |
|
AWS::RDS::EventSubscription |
RDS.19 RDS.20 RDS.21 RDS.22 |
|
| Amazon Redshift | AWS::Redshift::Cluster |
Redshift.1 Redshift.2 Redshift.3 Redshift.4 Redshift.6 Redshift.7 Redshift.8 Redshift.9 Redshift.10 |
| Amazon Route 53 | AWS::Route53::HostedZone |
Route53.2 |
| Amazon Simple Storage Service (Amazon S3) | AWS::S3::AccessPoint |
S3.19 |
AWS::S3::Bucket |
S3.2 S3.3 S3.5 S3.6 S3.7 S3.8 S3.9 S3.10 S3.11 S3.12 S3.13 S3.14 S3.15 S3.17 S3.20 |
|
| Amazon Simple Notification Service (Amazon SNS) | AWS::SNS::Topic
|
SNS.1 SNS.2 |
| Amazon Simple Queue Service (Amazon SQS) | AWS::SQS::Queue
|
SQS.1 |
| Amazon SageMaker | AWS::SageMaker::NotebookInstance
|
SageMaker2. SageMaker.3 |
| AWS Secrets Manager | AWS::SecretsManager::Secret
|
SecretsManager.1 SecretsManager.2 |
| AWS Step Functions | AWS::StepFunctions::StateMachine
|
StepFunctions.1 |
| AWS WAF | AWS::WAF::Rule |
WAF.6 |
AWS::WAF::RuleGroup |
WAF.7 |
|
AWS::WAF::WebACL |
WAF.8 |
|
AWS::WAFRegional::Rule |
WAF.2 |
|
AWS::WAFRegional::RuleGroup |
WAF.3 |
|
AWS::WAFRegional::WebACL |
WAF.4 |
|
AWS::WAFv2::RuleGroup |
WAF.12 |
|
AWS::WAFv2::WebACL |
WAF.10 |
AWS Config FSBP 標準に必要なリソース
Security Hub AWS AWS Config がルールを使用する有効な基本セキュリティベストプラクティス (FSBP) 変更トリガーコントロールの結果を正確にレポートするには、これらのリソースをに記録する必要があります。 AWS Configこの標準の詳細については、「AWS 基礎セキュリティ・ベスト・プラクティス (FSBP) 標準」を参照してください。
| サービス | 必要なリソース |
|---|---|
|
Amazon API Gateway |
|
|
AWS AppSync |
|
|
Amazon Athena |
|
|
AWS Backup |
|
|
AWS Certificate Manager (ACM) |
|
|
AWS CloudFormation |
|
|
Amazon CloudFront |
|
|
AWS CodeBuild |
|
|
AWS Database Migration Service (AWS DMS) |
|
|
Amazon DynamoDB |
|
| Amazon EC2 Systems Manager (SSM) |
|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
Amazon EKS |
|
|
ElasticBeanstalk |
|
|
Elastic Load Balancing |
|
|
ElasticSearch |
|
|
Amazon FSx |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Key Management Service (AWS KMS) |
|
|
Amazon Kinesis |
|
|
AWS Lambda |
|
|
Amazon MSK |
|
|
AWS Network Firewall |
|
|
Amazon OpenSearch サービス |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Route 53 |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
|
Amazon SageMaker |
|
|
AWS Secrets Manager |
|
|
AWS Step Functions |
|
|
AWS WAF |
|
AWS Config CIS AWS 財団ベンチマークに必要なリソース
Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 と v1.4.0 に適用される有効なコントロールのセキュリティチェックを実行するために、Security Hub は「Amazon
この標準の詳細については、「Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 および v1.4.0」を参照してください。
CIS v1.4.0 に必要なリソース AWS Config
Security Hub AWS Config がルールを使用する有効な CIS v1.4.0 変更トリガーコントロールの結果を正確にレポートするには、これらのリソースをに記録する必要があります。 AWS Config
| サービス | 必要なリソース |
|---|---|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
AWS Identity and Access Management (IAM) |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
CIS AWS Config v1.2.0 に必要なリソース
Security Hub が、 AWS Config ルールを使用する有効な CIS v1.2.0 変更トリガーコントロールの結果を正確にレポートするには、これらのリソースをに記録する必要があります。 AWS Config
| サービス | 必要なリソース |
|---|---|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
AWS Identity and Access Management (IAM) |
|
AWS Config NIST SP 800-53 Rev. 5 に必要なリソース
Security Hub が、 AWS Config ルールを使用する米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 変更トリガーコントロールの結果を正確にレポートするには、これらのリソースをに記録する必要があります。 AWS Configリソースを記録する必要があるのは、変更がトリガーされたスケジュールタイプのあるコントロールのリソースだけです。この標準の詳細については、「米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5」を参照してください。
| サービス | 必要なリソース |
|---|---|
|
Amazon API Gateway |
|
|
AWS AppSync |
|
|
Amazon Athena |
|
|
AWS Backup |
|
|
AWS Certificate Manager (ACM) |
|
|
AWS CloudFormation |
|
|
Amazon CloudFront |
|
|
Amazon CloudWatch |
|
|
AWS CodeBuild |
|
|
AWS Database Migration Service (AWS DMS) |
|
|
Amazon DynamoDB |
|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
Amazon EKS |
|
|
ElasticBeanstalk |
|
|
Elastic Load Balancing |
|
|
ElasticSearch |
|
|
Amazon EventBridge |
|
|
Amazon FSx |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Key Management Service (AWS KMS) |
|
|
Amazon Kinesis |
|
|
AWS Lambda |
|
|
Amazon MSK |
|
|
Amazon MQ |
|
|
AWS Network Firewall |
|
|
Amazon OpenSearch サービス |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Route 53 |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
| Amazon EC2 Systems Manager (SSM) |
|
|
Amazon SageMaker |
|
|
AWS Secrets Manager |
|
|
AWS WAF |
|
AWS Config PCI DSS に必要なリソース
Security Hub が、 AWS Config ルールを使用する有効なペイメントカード業界データセキュリティ標準 (PCI DSS) 統制の結果を正確に報告できるようにするには、これらのリソースをに記録する必要があります。 AWS Configこの標準の詳細については、「Payment Card Industry Data Security Standard (PCI DSS)」を参照してください。
| サービス | 必要なリソース |
|---|---|
|
AWS CodeBuild |
|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Lambda |
|
|
Amazon OpenSearch サービス |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
| Amazon EC2 Systems Manager (SSM) |
|
AWS Config サービスマネージドスタンダードに必要なリソース: AWS Control Tower
Security Hub が、有効になっている Service-Managed Standard: AWS Control Tower AWS Config ルールを使用するトリガー型コントロールの結果を正確にレポートするには、次のリソースをに記録する必要があります。 AWS Configこの標準の詳細については、「サービスマネージドスタンダード: AWS Control Tower」を参照してください。
| サービス | 必要なリソース |
|---|---|
|
Amazon API Gateway |
|
|
AWS Certificate Manager (ACM) |
|
|
AWS CodeBuild |
|
|
Amazon DynamoDB |
|
|
Amazon Elastic Compute Cloud (EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
Amazon EKS |
|
|
ElasticBeanstalk |
|
|
Elastic Load Balancing |
|
|
ElasticSearch |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Key Management Service (AWS KMS) |
|
|
Amazon Kinesis |
|
|
AWS Lambda |
|
|
AWS Network Firewall |
|
|
Amazon OpenSearch サービス |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
| Amazon EC2 Systems Manager (SSM) |
|
|
AWS Secrets Manager |
|
|
AWS WAF |
|
