为什么我在启用 AWS Security Hub 后会收到 AWS Config 错误?

上次更新时间:2020 年 7 月 1 日

我遵循了设置 AWS Security Hub 的说明,但收到了与以下类似的错误消息:

“某些账户未启用 AWS Config。”

“未在所有区域启用 AWS Config”

“使用 AWS Config 时出现错误。请与 AWS Support 联系。”

解决方法

按照以下最佳实践来配置和排查使用 Security Hub 时出现的 AWS Config 问题。

注意:Security Hub 创建的 AWS Config 规则不会产生任何额外的成本。

验证已在与 Security Hub 相同的 AWS 区域启用了 AWS Config

必须在与 Security Hub 相同的区域手动启用 AWS Config。

1.    在您启用了 Security Hub 的相同区域打开 AWS Config 控制台

2.    如果您还未启用 AWS Config,请按照使用控制台设置 AWS Config 的说明操作。

注意:如果您在多个区域配置了 Security Hub,请为每个区域重复这些步骤。

验证 AWS Config 在记录所有资源,包括您的区域中的全局资源

您可以修改 AWS Config 记录的资源类型。

1.    打开 AWS Config 控制台,然后选择设置

2.    在设置中,确认记录功能已打开

3.    在要记录的资源类型中,选择记录此区域中支持的所有资源

4.     在要记录的资源类型中,选择包括全局资源(例如 AWS IAM 资源)

5.    选择保存

注意:

  • 这些设置适用于配置了 Security Hub 的所有 AWS 账户,包括 AWS Organizations 成员账户。
  • 如果您不希望在 AWS Config 中记录所有资源类型,请确保在记录 CISPCI DSSAWS 基本安全最佳实践控件所需的资源类型。
  • 您无需在所有区域都启用全局资源。为避免重复的配置设置,您可以仅按 AWS 账户在与 Security Hub 相同的 AWS 区域启用全局设置。
  • 完成记录器设置最长可能需要 24 小时。

使用 Amazon CloudWatch 日志筛选条件模式来搜索 AWS CloudTrail 日志数据

按下面的说明搜索和排查 AWS Config 错误消息。

1.    遵循使用控制台搜索日志条目中第 1-4 步的说明。

2.    将以下示例句法粘贴到筛选条件中,然后在您的设备上选择“确认”:

EventSource: config.amazonaws.com

3.    记下错误。然后按照我该如何排查 AWS Config 控制台错误消息?中的说明操作

验证 Security Hub 服务相关角色的权限

AWS Security Hub 使用服务相关角色 向 AWS 服务提供权限。以下 AWS Identity and Access Management (IAM) 权限允许用户使用 Security Hub 来访问 AWS Config:

{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:GetComplianceDetailsByConfigRule",
"config:DescribeConfigRuleEvaluationStatus"
],
"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
}

有关更多信息,请参阅对 AWS Security Hub 使用服务相关角色


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?