使用 AWS Config 執行安全性檢查的規則

若要對環境的資源執行安全性檢查， AWS Security Hub 使用標準或特定指定的步驟 AWS Config 規則。一些規則由開發和管理 AWS Config。 其他規則是 Security Hub 開發的自訂規則。

AWS Config Security Hub 用於控制項的規則稱為服務連結規則，因為這些規則是由 Security Hub 服務啟用和控制。

若要對這些項目啟用檢查 AWS Config 規則，您必須先啟用 AWS Config 為您的帳戶，並打開所需資源的資源記錄。有關啟用的說明 AWS Config，請參閱設定 AWS Config 適用於 Security Hub。如需記錄所需資源的相關資訊，請參閱Security Hub 控制調查結果的必要 AWS Config 資源。

產生服務連結規則

對於每個使用 AWS Config 服務鏈接規則，Security Hub 創建所需規則的實例 AWS 環境。

這些服務連結規則專屬於 Security Hub。即使已存在相同規則的其他執行個體，其仍會建立這些服務連結規則。服務連結規則會在原始規則名稱securityhub之前新增，並在規則名稱後新增一個唯一識別碼。例如，對於原始 AWS Config 受管規則vpc-flow-logs-enabled，服務連結規則名稱會類似securityhub-vpc-flow-logs-enabled-12345。

有上的數量限制 AWS Config 可用於評估控制項的規則。自訂 AWS Config 安全中心創建的規則不會計入該限制。您可以啟用安全性標準，即使您已經達到 AWS Config 帳戶中受管規則的限制。進一步了解 AWS Config 規則限制，請參閱中的服務限制 AWS Config 開發人員指南。

檢視有關的詳細資訊 AWS Config 控制項的規則

Security Hub 主控台的 [發現項目] 頁面、[見解] 頁面和 [整合] 頁面上的尋找項目詳細資料包含指向相關聯的 [規則] 連結 AWS Config 規則詳細資料。如需詳細資訊，請參閱檢閱調查結果詳細資訊和歷史記錄的說明。

在控制項詳細資訊頁面上，發現項目清單的「調查」資料欄包含 AWS Config 規則詳細資料。如需詳細資訊，請參閱檢視 AWS Config 尋找項目資源的規則。

若要導覽至 AWS Config 查找或控制詳細信息的規則，您必須在所選帳戶中具有相關IAM權限。

自訂規則不會在主控台上連結。如需自訂規則描述，請參閱Security Hub 控制項參考。從清單中選取控制項以查看其描述，包括 AWS Config 規則。