AWS Security Hub を有効化した後に AWS Config のエラーが発生したのはなぜですか?

最終更新日: 2020 年 7 月 1 日

AWS Security Hub のセットアップ」の手順を実施したところ、次のようなエラーが発生しました。

「AWS Config は、いくつかのアカウントで有効になっていません」

「AWS Config はすべてのリージョンで有効になっていません」

「AWS Config でエラーが発生しました。AWS サポートにお問い合わせください。」

解決方法

AWS Config と Security Hub の併用の設定およびトラブルシューティングには、次のベストプラクティスを使用します。

注意: Security Hub で作成された AWS Config ルールに追加料金はかかりません。

Security Hub と同じ AWS リージョンで AWS Config が有効になっていることを検証する

AWS Config は Security Hub と同じリージョンで手動で有効化する必要があります。

1.    Security Hub を有効化したリージョンで AWS Config コンソールを開きます。

2.    AWS Config が有効でない場合は、「コンソールによる AWS Config の設定」の手順を実施します。

注意: 複数のリージョンで Security Hub を設定している場合は、各リージョンで手順を繰り返してください。

お使いのリージョンでグローバルリソースを含むリソースすべてを AWS Config が記録していることを検証する

AWS Config が記録するリソースのタイプを変更できます。

1.    AWS Config コンソールを開き、[設定] を選択します。

2.    [設定] で、[記録はオン] となっていることを確認します。

3.    [記録するリソースタイプ] で [このリージョンでサポートされているすべてのリソースを記録します] を選択します。

4.     [記録するリソースタイプ] で、[グローバルリソース (AWS IAM リソースなど) を含める] を選択します。

5.    [保存] を選択します。

注意:

  • これらの設定は、AWS Organizations メンバーアカウントを含む、Security Hub で設定された AWS アカウントすべてに適用されます。
  • AWS Config ですべてのリソースタイプを記録しない場合は、CISPCI DSSAWS の基本的なセキュリティのベストプラクティスコントロールに必要なリソースタイプが記録されていることを確認します。
  • すべてのリージョンでグローバルリソースを有効化する必要はありません。AWS アカウントごとに Security Hub と同じ AWS リージョンでのみグローバル設定を有効化すれば、設定の重複を避けることができます。
  • レコーダー設定の完了には最大 24 時間かかります。

Amazon CloudWatch ログフィルターパターンを使用して AWS CloudTrail ログデータを検索する

これらの手順を実施して AWS Config エラーメッセージを検索およびトラブルシューティングします。

1.    「コンソールを使用したログエントリの検索」の手順 1~4 を実施します。

2.    [フィルター] で、次の構文例を貼り付けてから、デバイスの Enter キーを押します。

EventSource: config.amazonaws.com

3.    エラーを書き留めます。AWS Config コンソールのエラーメッセージをトラブルシューティングする方法を教えてください。の手順を実施します。

Security Hub のサービスにリンクされたロールに対するアクセス許可を検証する

AWS Security Hub では、サービスにリンクされたロールを使用して AWS のサービスにアクセス許可を付与します。次の AWS Identity and Access Management (IAM) アクセス許可により、Security Hub による AWS Config へのアクセスが許可されます。

{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:GetComplianceDetailsByConfigRule",
"config:DescribeConfigRuleEvaluationStatus"
],
"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
}

詳細については、AWS Security Hub のサービスにリンクされたロールの使用をご覧ください。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合