我为什么会在启用 AWS Security Hub 后收到 AWS Config 错误？

2 分钟阅读

如何排查在启用 AWS Security Hub 后收到的 AWS Config 错误？

简短描述

设置 AWS Security Hub 时，您可能会遇到以下错误之一：

“AWS Config is not enabled on some accounts.（某些账户未启用 AWS Config。）”
“AWS Config is not enabled in all regions.（未在所有区域启用 AWS Config。）”
“An error has occurred with AWS Config.Contact AWS Support.（使用 AWS Config 时出现错误。请联系 AWS Support。）”

解决方法

按照以下最佳实践来配置和排查使用 Security Hub 时出现的 AWS Config 问题：

注意：Security Hub 创建的 AWS Config 规则不会产生任何额外的成本。

验证是否已在与 Security Hub 相同的 AWS 区域启用了 AWS Config

按如下所示在与 Security Hub 相同的区域手动启用 AWS Config：

1. 在您启用了 Security Hub 的相同区域打开 AWS Config 控制台。

2. 如果您还未启用 AWS Config，请按照使用控制台设置 AWS Config 的说明操作。

注意：如果您在多个区域配置了 Security Hub，请为每个区域重复这些步骤。

验证 AWS Config 在记录所有资源，包括您的区域中的全局资源

按如下所示修改 AWS Config 记录的资源类型：

1. 打开 AWS Config console（AWS Config 控制台），然后选择 Settings（设置）。

2. 在设置中，确认记录功能已打开。

3. 在要记录的资源类型中，选择记录此区域中支持的所有资源。

4. 在要记录的资源类型中，选择包括全局资源（例如 AWS IAM 资源）。

5. 选择保存。

注意：

这些设置适用于配置了 Security Hub 的所有 AWS 账户，包括 AWS Organizations 成员账户。
您不必在 AWS Config 中记录所有资源类型。但请确保记录 CIS、PCI DSS 和 AWS 基本安全最佳实践控件所需的资源类型。
您无需在所有区域都启用全局资源。为避免重复的配置设置，您可以仅按 AWS 账户在与 Security Hub 相同的 AWS 区域启用全局设置。
完成记录器设置最长可能需要 24 小时。

使用 Amazon CloudWatch 日志筛选条件模式来搜索 AWS CloudTrail 日志数据

按如下所示搜索和排查 AWS Config 错误消息：

1. 遵循使用控制台搜索日志条目中第 1-4 步的说明。

2. 将以下示例句法粘贴到筛选条件中，然后在您的设备上选择“确认”：

EventSource: config.amazonaws.com<br>

3. 记下错误。然后按照我该如何排查 AWS Config 控制台错误消息？中的说明操作

验证 Security Hub 服务相关角色的权限

AWS Security Hub 使用服务相关角色向 AWS 服务提供权限。以下 AWS Identity and Access Management (IAM) 权限允许用户使用 Security Hub 来访问 AWS Config：

{<br>"Effect": "Allow",<br>"Action": [<br>"config:PutConfigRule",<br>"config:DeleteConfigRule",<br>"config:GetComplianceDetailsByConfigRule",<br>"config:DescribeConfigRuleEvaluationStatus"<br>],<br>"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"<br>}<br>

有关更多信息，请参阅对 AWS Security Hub 使用服务相关角色。