Pourquoi ai-je reçu une erreur AWS Config après avoir activé AWS Security Hub ?

Dernière mise à jour : 01/07/2020

J'ai suivi les instructions de configuration d'AWS Security Hub et reçu une erreur similaire à l'une des suivantes :

« AWS Config is not enabled on some accounts. » (AWS Config n'est pas activé sur certains comptes.)

« AWS Config is not enabled in all regions. » (AWS Config n'est pas activé dans toutes les régions.)

« An error has occurred with AWS Config. Contact AWS Support. » (Une erreur est survenue dans AWS Config. Contactez AWS Support.)

Solution

Utilisez les bonnes pratiques suivantes pour configurer et dépanner AWS Config avec Security Hub.

Remarque : les règles AWS Config créées par Security Hub n'entraînent pas de frais supplémentaires.

Vérifier qu'AWS Config est activé dans la même région AWS que Security Hub

AWS Config doit être activé manuellement dans la même région que Security Hub.

1.    Ouvrez la console AWS Config dans la même région que celle où Security Hub est activé.

2.    Si AWS Config n'est pas activé, suivez les instructions de configuration d'AWS Config avec la console.

Remarque : si Security Hub est configuré dans plusieurs régions, répétez ces étapes pour chaque région.

Vérifier qu'AWS Config enregistre toutes les ressources, notamment celles globales, dans votre région

Vous pouvez modifier le type de ressources qu'AWS Config enregistre.

1.    Ouvrez la console AWS Config, puis choisissez Settings (Paramètres).

2.    Dans Settings (Paramètres), vérifiez que l'enregistrement est activé.

3.    Dans Resource types to record (Types de ressources à enregistrer), sélectionnez Record all resources supported in this region (Enregistrer toutes les ressources prises en charge dans cette région).

4.     Dans Resource types to record (Types de ressources à enregistrer), sélectionnez Include global resources (e.g., AWS IAM resources) (Inclure les ressources globales, par exemple les ressources AWS IAM).

5.    Choisissez Save (Enregistrer).

Remarque :

  • ces paramètres s'appliquent à tous vos comptes AWS configurés avec Security Hub, notamment les comptes membres AWS Organizations.
  • Si vous ne souhaitez pas enregistrer tous les types de ressources dans AWS Config, assurez-vous que les types de ressources requis pour les contrôles CIS, PCI DSS et AWS Foundational Security Best Practices sont enregistrés.
  • Vous n'avez pas besoin d'activer les ressources globales dans toutes les régions. Pour éviter la duplication des paramètres de configuration, vous pouvez activer les paramètres globaux uniquement dans la même région AWS que Security Hub pour chaque compte AWS.
  • La réalisation des paramètres de l'enregistreur peut prendre jusqu'à 24 heures.

Utiliser les modèles de filtre de journaux Amazon CloudWatch pour rechercher des données de journaux AWS CloudTrail

Utilisez ces instructions pour rechercher et résoudre les messages d'erreur AWS Config.

1.    Suivez les étapes 1 à 4 de la section Recherche d'entrées de journal à l'aide de la console.

2.    Dans Filter (Filtre), collez l'exemple de syntaxe suivant, puis validez avec la touche « Enter » (Entrée) de votre machine :

EventSource: config.amazonaws.com

3.    Notez l'erreur. Ensuite, suivez les instructions de la section Comment résoudre les messages d'erreur de la console AWS Config ?

Vérifier les autorisations sur le rôle lié à un service Security Hub

AWS Security Hub utilise des rôles liés à un service pour fournir des autorisations aux services AWS. L'autorisation AWS Identity and Access Management (IAM) suivante permet d'accéder à AWS Config avec Security Hub :

{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:GetComplianceDetailsByConfigRule",
"config:DescribeConfigRuleEvaluationStatus"
],
"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
}

Pour plus d'informations, consultez la section Utilisation des rôles liés à un service pour AWS Security Hub.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?