AWS Config 控制

這些控制項與資 AWS Config 源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱 各區域控制項的可用性。

AWS Config 應啟用 [Config.1]，並使用服務連結角色進行資源記錄

相關要求：獨聯體 AWS 基礎基準測試 v1.2.0/2.5，獨聯體 AWS 基準基準 v1.4.0/3.5，獨聯體 AWS 基礎基準指標 V3.0.0/3.3，Nist.800-53.R5 厘米 -3 厘米 -6（1），Ni.800-53.R5 厘米 -3.5.2 2.1/11.5

類別：識別 > 清查

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：無 (自訂 Security Hub 規則)

排程類型：定期

參數：無

此控制項會檢查目前帳戶中 AWS Config 是否已啟用 AWS 區域，記錄與目前「區域」中啟用之控制項相對應的所有資源，並使用服務連結 AWS Config 角色。如果您不使用服務連結角色，則控制項會失敗，因為其他角色可能沒有準確記錄資源的必要權限。 AWS Config

此 AWS Config 服務會對帳戶中支援的 AWS 資源執行組態管理，並將記錄檔傳送給您。記錄的資訊包括組態項目 (AWS 資源)、組態料號之間的關係，以及資源內的任何組態變更。全球資源是指任何區域中可用的資源。

控制項的評估方式如下：

• 如果將目前區域設定為彙總區域，則只有在記錄 AWS Identity and Access Management (IAM) 全域資源時 (如果您已啟用需要這些資源的控制項)，控制項才會產生PASSED搜尋結果。

• 如果目前的區域設定為連結的區域，則控制項不會評估是否記錄 IAM 全域資源。

• 如果目前的區域不在您的彙總器中，或者您的帳戶中未設定跨區域彙總，則只有在記錄 IAM 全域資源時 (如果您已啟用需要這些資源的控制項)，控制項才會產生PASSED發現結果。

控制結果不會受到您選擇每日或連續記錄中資源狀態變更的影響 AWS Config。不過，如果您已設定新控制項的自動啟用，或具有自動啟用新控制項的中央組態原則，則此控制項的結果可能會在發行新控制項時變更。在這些情況下，如果您未記錄所有資源，則必須為與新控制項相關聯的資源配置錄製檔，才能接收PASSED發現項目。

Security Hub 安全性檢查只有在您 AWS Config 在所有區域中啟用，並針對需要它的控制項設定資源記錄時，才能正常運作。

注意

Config 1 需要在您使用資訊安全中心的所有區域中啟用此 AWS Config 功能。

由於 Security Hub 是區域服務，因此針對此控制項執行的檢查只會評估帳戶目前的「區域」。

若要允許對某個區域中的 IAM 全球資源進行安全檢查，您必須記錄該區域中的 IAM 全球資源。未記錄 IAM 全域資源的區域會收到檢查 IAM 全域資源的控制項的預設PASSED搜尋結果。由於 IAM 全球資源相同 AWS 區域，因此建議您僅在本地區域記錄 IAM 全球資源 (如果您的帳戶中啟用了跨區域彙總)。IAM 資源只會在開啟全域資源記錄的區域中記錄。

AWS Config 支援的 IAM 全域記錄資源類型包括 IAM 使用者、群組、角色和客戶受管政策。您可以考慮停用 Security Hub 控制項，以便在關閉全域資源記錄的區域中檢查這些資源類型。如需詳細資訊，請參閱 您可能想要停用的 Security Hub 控制項。

修補

如需每個控制項必須記錄哪些資源的清單，請參閱AWS Config 產生控制項發現項所需的資源。

在本地區域和不屬於彙總工具的區域中，記錄目前區域中啟用之控制項所需的所有資源，包括 IAM 全域資源 (如果您已啟用需要 IAM 全域資源的控制項)。

在連結的區域中，您可以使用任何 AWS Config 記錄模式，只要您要記錄對應於目前「區域」中啟用的控制項的所有資源即可。在連結區域中，如果您啟用了需要記錄 IAM 全域資源的控制項，就不會收到FAILED發現資訊 (您記錄其他資源就足夠了)。

若要啟用 AWS Config 並將其設定為記錄資源，請參閱AWS Config 開發人員指南中的 AWS Config 使用主控台進行設定。您也可以使用 AWS CloudFormation 範本來自動化此程序。若要取得更多資訊，請參閱《AWS CloudFormation 使用指南》中的AWS CloudFormation StackSets 範例樣板。