我为什么会在启用 AWS Security Hub 后收到 AWS Config 错误?

上次更新日期:2022 年 7 月 1 日

如何排查在启用 AWS Security Hub 后收到的 AWS Config 错误?

简短描述

设置 AWS Security Hub 时,您可能会遇到以下错误之一:

  • AWS Config is not enabled on some accounts.(某些账户未启用 AWS Config。)
  • AWS Config is not enabled in all regions.(未在所有区域启用 AWS Config。)
  • An error has occurred with AWS Config.Contact AWS Support.(使用 AWS Config 时出现错误。请联系 AWS Support。)

解决方法

按照以下最佳实践来配置和排查使用 Security Hub 时出现的 AWS Config 问题:

注意:Security Hub 创建的 AWS Config 规则不会产生任何额外的成本。

验证是否已在与 Security Hub 相同的 AWS 区域启用了 AWS Config

按如下所示在与 Security Hub 相同的区域手动启用 AWS Config:

1.    在您启用了 Security Hub 的相同区域打开 AWS Config 控制台

2.    如果您还未启用 AWS Config,请按照使用控制台设置 AWS Config 的说明操作。

注意:如果您在多个区域配置了 Security Hub,请为每个区域重复这些步骤。

验证 AWS Config 在记录所有资源,包括您的区域中的全局资源

按如下所示修改 AWS Config 记录的资源类型:

1.    打开 AWS Config console(AWS Config 控制台),然后选择 Settings(设置)。

2.    在设置中,确认记录功能已打开

3.    在要记录的资源类型中,选择记录此区域中支持的所有资源

4.     在要记录的资源类型中,选择包括全局资源(例如 AWS IAM 资源)

5.    选择保存

注意:

  • 这些设置适用于配置了 Security Hub 的所有 AWS 账户,包括 AWS Organizations 成员账户。
  • 您不必在 AWS Config 中记录所有资源类型。但请确保记录 CISPCI DSSAWS 基本安全最佳实践控件所需的资源类型。
  • 您无需在所有区域都启用全局资源。为避免重复的配置设置,您可以仅按 AWS 账户在与 Security Hub 相同的 AWS 区域启用全局设置。
  • 完成记录器设置最长可能需要 24 小时。

使用 Amazon CloudWatch 日志筛选条件模式来搜索 AWS CloudTrail 日志数据

按如下所示搜索和排查 AWS Config 错误消息:

1.    遵循使用控制台搜索日志条目中第 1-4 步的说明。

2.    将以下示例句法粘贴到筛选条件中,然后在您的设备上选择“确认”:

EventSource: config.amazonaws.com<br>

3.    记下错误。然后按照我该如何排查 AWS Config 控制台错误消息?中的说明操作

验证 Security Hub 服务相关角色的权限

AWS Security Hub 使用服务相关角色向 AWS 服务提供权限。以下 AWS Identity and Access Management (IAM) 权限允许用户使用 Security Hub 来访问 AWS Config:

{<br>"Effect": "Allow",<br>"Action": [<br>"config:PutConfigRule",<br>"config:DeleteConfigRule",<br>"config:GetComplianceDetailsByConfigRule",<br>"config:DescribeConfigRuleEvaluationStatus"<br>],<br>"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"<br>}<br>

有关更多信息,请参阅对 AWS Security Hub 使用服务相关角色


这篇文章对您有帮助吗?


您是否需要账单或技术支持?