AWS Security Hub を有効化した後に AWS Config のエラーが発生したのはなぜですか?
最終更新日: 2020 年 7 月 1 日
「AWS Security Hub のセットアップ」の手順を実施したところ、次のようなエラーが発生しました。
「AWS Config は、いくつかのアカウントで有効になっていません」
「AWS Config はすべてのリージョンで有効になっていません」
「AWS Config でエラーが発生しました。AWS サポートにお問い合わせください。」
解決方法
AWS Config と Security Hub の併用の設定およびトラブルシューティングには、次のベストプラクティスを使用します。
注意: Security Hub で作成された AWS Config ルールに追加料金はかかりません。
Security Hub と同じ AWS リージョンで AWS Config が有効になっていることを検証する
AWS Config は Security Hub と同じリージョンで手動で有効化する必要があります。
1. Security Hub を有効化したリージョンで AWS Config コンソールを開きます。
2. AWS Config が有効でない場合は、「コンソールによる AWS Config の設定」の手順を実施します。
注意: 複数のリージョンで Security Hub を設定している場合は、各リージョンで手順を繰り返してください。
お使いのリージョンでグローバルリソースを含むリソースすべてを AWS Config が記録していることを検証する
AWS Config が記録するリソースのタイプを変更できます。
1. AWS Config コンソールを開き、[設定] を選択します。
2. [設定] で、[記録はオン] となっていることを確認します。
3. [記録するリソースタイプ] で [このリージョンでサポートされているすべてのリソースを記録します] を選択します。
4. [記録するリソースタイプ] で、[グローバルリソース (AWS IAM リソースなど) を含める] を選択します。
5. [保存] を選択します。
注意:
- これらの設定は、AWS Organizations メンバーアカウントを含む、Security Hub で設定された AWS アカウントすべてに適用されます。
- AWS Config ですべてのリソースタイプを記録しない場合は、CIS、PCI DSS、AWS の基本的なセキュリティのベストプラクティスコントロールに必要なリソースタイプが記録されていることを確認します。
- すべてのリージョンでグローバルリソースを有効化する必要はありません。AWS アカウントごとに Security Hub と同じ AWS リージョンでのみグローバル設定を有効化すれば、設定の重複を避けることができます。
- レコーダー設定の完了には最大 24 時間かかります。
Amazon CloudWatch ログフィルターパターンを使用して AWS CloudTrail ログデータを検索する
これらの手順を実施して AWS Config エラーメッセージを検索およびトラブルシューティングします。
1. 「コンソールを使用したログエントリの検索」の手順 1~4 を実施します。
2. [フィルター] で、次の構文例を貼り付けてから、デバイスの Enter キーを押します。
EventSource: config.amazonaws.com
3. エラーを書き留めます。AWS Config コンソールのエラーメッセージをトラブルシューティングする方法を教えてください。の手順を実施します。
Security Hub のサービスにリンクされたロールに対するアクセス許可を検証する
AWS Security Hub では、サービスにリンクされたロールを使用して AWS のサービスにアクセス許可を付与します。次の AWS Identity and Access Management (IAM) アクセス許可により、Security Hub による AWS Config へのアクセスが許可されます。
{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:GetComplianceDetailsByConfigRule",
"config:DescribeConfigRuleEvaluationStatus"
],
"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
}
詳細については、AWS Security Hub のサービスにリンクされたロールの使用をご覧ください。