As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Config controles
Esses controles estão relacionados aos AWS Config recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.
[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.5, CIS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIST.800-53.r5 CM-3, NIST.800-53.r5 AWS CM-6 (1), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5
Categoria: Identificar > Inventário
Severidade: média
Tipo de recurso: AWS::::Account
AWS Config regra: Nenhuma (regra personalizada do Security Hub)
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se AWS Config está ativado em sua conta na atual Região da AWS, registra todos os recursos que correspondem aos controles ativados na região atual e usa a função vinculada ao serviço AWS Config. Se você não usar a função vinculada ao serviço, o controle falhará porque outras funções podem não ter as permissões necessárias AWS Config para registrar seus recursos com precisão.
O AWS Config serviço executa o gerenciamento da configuração dos AWS recursos suportados em sua conta e entrega arquivos de log para você. As informações registradas incluem o item de configuração (AWS recurso), os relacionamentos entre os itens de configuração e quaisquer alterações de configuração nos recursos. Recursos globais são recursos que estão disponíveis em qualquer região.
O controle é avaliado da seguinte forma:
Se a região atual for definida como sua região de agregação, o controle produzirá
PASSEDdescobertas somente se os recursos globais AWS Identity and Access Management (IAM) forem registrados (se você tiver ativado controles que os exijam).Se a região atual for definida como uma região vinculada, o controle não avaliará se os recursos globais do IAM estão registrados.
Se a região atual não estiver em seu agregador ou se a agregação entre regiões não estiver configurada em sua conta, o controle produzirá
PASSEDdescobertas somente se os recursos globais do IAM forem registrados (se você tiver ativado controles que os exijam).
Os resultados do controle não são afetados pelo fato de você escolher o registro diário ou contínuo das alterações no estado do recurso em AWS Config. No entanto, os resultados desse controle podem mudar quando novos controles são liberados, caso você tenha configurado a ativação automática de novos controles ou tenha uma política de configuração central que habilite automaticamente novos controles. Nesses casos, se você não registrar todos os recursos, deverá configurar a gravação dos recursos associados a novos controles para receber uma PASSED descoberta.
As verificações de segurança do Security Hub funcionam conforme o esperado somente se você habilitar AWS Config em todas as regiões e configurar a gravação de recursos para controles que a exijam.
nota
O Config.1 exige que AWS Config esteja habilitado em todas as regiões nas quais você usa o Security Hub.
Como o Security Hub é um serviço regional, a verificação realizada para esse controle avalia somente a região atual da conta.
Para permitir verificações de segurança em relação aos recursos globais do IAM em uma região, você deve registrar os recursos globais do IAM nessa região. As regiões que não têm recursos globais do IAM registrados receberão uma PASSED descoberta padrão para controles que verificam os recursos globais do IAM. Como os recursos globais do IAM são idênticos Regiões da AWS, recomendamos que você registre os recursos globais do IAM somente na região de origem (se a agregação entre regiões estiver ativada em sua conta). Os recursos do IAM serão registrados somente na região em que o registro global de recursos está ativado.
Os tipos de recursos registrados globalmente pelo IAM que são AWS Config compatíveis são usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM. Você pode considerar a desativação dos controles do Security Hub que verificam esses tipos de recursos em regiões onde a gravação global de recursos está desativada. Para ter mais informações, consulte Controles do Security Hub que podem ser desabilitados.
Correção
Para obter uma lista de quais recursos devem ser registrados para cada controle, consulteAWS Config recursos necessários para gerar resultados de controle.
Na região de origem e nas regiões que não fazem parte de um agregador, registre todos os recursos necessários para os controles habilitados na região atual, incluindo recursos globais do IAM, se você tiver ativado controles que exigem recursos globais do IAM.
Nas regiões vinculadas, você pode usar qualquer modo de AWS Config gravação, desde que esteja gravando todos os recursos que correspondem aos controles ativados na região atual. Nas regiões vinculadas, se você tiver controles habilitados que exijam o registro dos recursos globais do IAM, você não receberá uma FAILED descoberta (seu registro de outros recursos é suficiente).
Para habilitá-lo AWS Config e configurá-lo para registrar recursos, consulte Configuração AWS Config com o console no Guia do AWS Config desenvolvedor. Você também pode usar um AWS CloudFormation modelo para automatizar esse processo. Para obter mais informações, consulte modelos de AWS CloudFormation StackSets amostra no Guia AWS CloudFormation do usuário.
