使用 AWS Config 规则进行安全检查

要对环境的资源进行安全检查， AWS Security Hub 请使用标准或特定 AWS Config 规则指定的步骤。有些规则是由开发和管理的 AWS Config。其他规则是 Security Hub 开发的自定义规则。

AWS Config Security Hub 用于控制的规则被称为服务相关规则，因为它们由 Security Hub 服务启用和控制。

要启用对这些 AWS Config 规则的检查，您必须先 AWS Config 为您的账户启用并开启所需资源的资源记录。有关启用的说明 AWS Config，请参阅为 Security Hub AWS Config 进行配置。有关需要记录的资源的信息，请参阅生成 Security Hub 控制结果所需的 AWS Config 资源。

生成服务相关规则

对于使用 AWS Config 服务相关规则的每个控件，Security Hub 都会在您的 AWS 环境中创建所需规则的实例。

这些服务相关规则特定于 Security Hub。即使已存在相同规则的其他实例，它也会创建这些服务相关规则。服务相关规则在原始规则名称前添加一个 securityhub，并在规则名称后添加一个唯一标识符。例如，对于原始 AWS Config 托管规则vpc-flow-logs-enabled，与服务相关的规则名称将类似securityhub-vpc-flow-logs-enabled-12345于。

可用于评估控件的 AWS Config 规则数量有限制。Security Hub 创建的自定义 AWS Config 规则不计入该限制。即使您的账户中已达到托管规则的 AWS Config 限制，也可以启用安全标准。要了解有关 AWS Config 规则限制的更多信息，请参阅《AWS Config 开发者指南》中的服务限制。

查看有关控件 AWS Config 规则的详细信息

Security Hub 控制台的 “调查结果” 页面、“见解” 页面和 “集成” 页面上的查找结果详细信息包括指向关联规则详细信息的 AWS Config 规则链接。有关更多信息，请参阅 查看查找详情和历史记录的说明。

在控件详细信息页面上，调查结果列表的 “调查” 列包含指向 AWS Config 规则详细信息的链接。有关更多信息，请参阅 查看查找资源的 AWS Config 规则。

要通过查找或控制详细信息导航到 AWS Config 规则，您必须在所选账户中拥有相关IAM权限。

主机上未链接自定义规则。有关自定义规则的描述，请参阅Security Hub 控件参考。从列表中选择一个控件以查看其描述，包括 AWS Config 规则。