本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用和配置Amazon Config
Amazon Security Hub使用服务相关Amazon Config规则来执行大多数控制安全检查。
为了支持这些控制措施,Amazon Config必须在启用 Security Hub 的每个区域中启用所有账户(包括管理员帐户和成员帐户)上启用。Amazon Config必须配置为至少记录已启用的标准所需的资源。
Security Hub 建议您在中启用资源录制Amazon Config在启用 Security Hub 标准之前。如果 Security Hub 尝试在未启用资源录制时运行安全检查,则检查会返回错误。
Security Hub 不管理Amazon Config对于您。如果您已有Amazon Config启用,则可以通过Amazon Config控制台或 API。
如果您启用Amazon Config启用标准后,Security Hub 仍会创建Amazon Config规则,但前提是启用Amazon Config在启用标准后 31 天内。如果你不启用Amazon Config在 31 天内,那么您必须在启用标准后禁用并重新启用该标准Amazon Config.
启用标准后,Security Hub 会尝试创建Amazon Config在 31 天内最多规定六次。
-
在你启用标准的当天
-
启用标准的第二天
-
启用标准后三天
-
启用标准后七天
-
启用标准后 15 天
-
启用标准后 31 天
如何启用Amazon Config
如果您尚未设置Amazon Config您已可以使用以下方式之一设置它:
-
控制台或 CLI— 你可以手动启用Amazon Config使用Amazon Config控制台或 CLI。请参阅开始使用Amazon Config中的Amazon Config开发人员指南.
-
Amazon CloudFormation模板— 如果你已经与Amazon Organizations或者想启用Amazon Config在大量帐户上,你可以轻松启用Amazon Config使用 CloudFormation 模板启用Amazon Config. 如需访问此模板,请参阅Amazon CloudFormation StackSets 示例模板中的Amazon CloudFormation用户指南. 有关使用此模板的详细信息,请参阅管理Amazon Organizations账户使用Amazon Config和Amazon CloudFormationStackSets
. -
GitHub 脚本— Security Hub 提供GitHub 中的脚本
这允许您在不同地区启用多个账户。如果您尚未与 Organizations 集成,或者您的帐户不属于组织,则此脚本非常有用。当您使用此脚本启用 Security Hub 时,它还会自动启用Amazon Config对于这些账户。
在中配置资源录制Amazon Config
当你在期间启用资源录制Amazon Config设置,Amazon Config记录所有受支持的类型区域资源那个Amazon Config在它运行的地区发现。您也可以配置Amazon Config记录受支持的类型全球资源. 您只需在单个区域中记录全球资源。
如果您在使用 CloudFormation 启用的 StackSetsAmazon Config,建议您运行两个不同的 StackSets。运行一 StackSet 将所有资源(包括全球资源)记录在一个区域中。运行第二个 StackSet 记录其他地区的全球资源以外的所有资源。
你也可以使用快速设置功能,这是Amazon Systems Manager,以在中快速配置资源录制Amazon Config跨你的账户和地区。在快速设置过程中,您可以选择要在哪个地区记录全球资源。有关更多信息,请参阅 。Amazon Config录音中的Amazon Systems Manager用户指南.
如果您没有在所有地区记录全局资源,那么在不记录全局资源的区域中,必须禁用该控件2.5 — 确保Amazon Config已启用. CIS 2.5 在未记录全球资源的地区产生失败的调查结果。有关您可能希望在未记录全局资源的区域中禁用的其他控件的详细信息,请参阅以下主题。
请注意,如果你使用多账户脚本
以下主题列出了每个标准所需资源。您只能为所需资源启用录制功能。但是,Security Hub 将继续添加新的控件并支持新资源。
有关与资源记录相关的成本的详细信息,请参阅Amazon Config定价页