AWS Security Hub をオンにした後に AWS Config のエラーが発生したのはなぜですか?
最終更新日: 2022 年 7 月 1 日
AWS Security Hub をオンにした後の AWS Config エラーのトラブルシューティング方法。
簡単な説明
AWS Security Hub を設定する際に、次のいずれかのエラーが発生する可能性があります。
- 「AWS Config is not enabled on some accounts.」(AWS Config は、いくつかのアカウントで有効になっていません)
- 「AWS Config is not enabled in all regions.」(AWS Config はすべてのリージョンで有効になっていません)
- 「An error has occurred with AWS Config.Contact AWS Support.」(AWS Config でエラーが発生しました。AWS サポートにお問い合わせください)
解決方法
AWS Config と Security Hub の併用の設定およびトラブルシューティングには、次のベストプラクティスを使用します。
注: Security Hub で作成された AWS Config ルールに追加料金はかかりません。
Security Hub と同じ AWS リージョンで AWS Config がオンになっていることを検証する
次のように、Security Hub と同じリージョンで AWS Config を手動でオンにします。
1. Security Hub をオンにしたリージョンで AWS Config コンソールを開きます。
2. AWS Config がオンになっていない場合は、「コンソールによる AWS Config の設定」の手順を実施します。
注: 複数のリージョンで Security Hub を設定している場合は、各リージョンでこれらのステップを繰り返してください。
ご利用のリージョンでグローバルリソースを含むリソースすべてを AWS Config が記録していることを検証する
リソースの AWS config レコードのタイプを次のように変更します。
1. AWS Config コンソールを開き、[Settings] (設定) を選択します。
2. [設定] で、[記録はオン] となっていることを確認します。
3. [記録するリソースタイプ] で [このリージョンでサポートされているすべてのリソースを記録します] を選択します。
4. [記録するリソースタイプ] で、[グローバルリソース (AWS IAM リソースなど) を含める] を選択します。
5. [保存] を選択します。
注意:
- これらの設定は、AWS Organizations メンバーアカウントを含む、Security Hub で設定された AWS アカウントすべてに適用されます。
- AWS Config ですべてのリソースタイプを記録する必要はありません。ただし、CIS、PCI DSS、および AWS の基本的なセキュリティベストプラクティスのコントロールのために必要なリソースタイプが記録されていることを確認してください。
- すべてのリージョンでグローバルリソースをオンにする必要はありません。AWS アカウントごとに Security Hub と同じ AWS リージョンでのみグローバル設定をオンにすることで、設定の重複を避けることができます。
- レコーダー設定の完了には最大 24 時間かかる場合があります。
Amazon CloudWatch ログフィルターパターンを使用して AWS CloudTrail ログデータを検索する
次のように AWS Config エラーメッセージを検索してトラブルシューティングします。
1. 「コンソールを使用してログエントリを検索する」のステップ 1~4 を実行します。
2. [フィルター] で、次の構文例を貼り付けてから、デバイスの Enter キーを押します。
EventSource: config.amazonaws.com<br>3. エラーを書き留めます。その後、「AWS Config コンソールのエラーメッセージをトラブルシューティングする方法を教えてください」の手順を実行します。
Security Hub のサービスにリンクされたロールに対するアクセス許可を検証する
AWS Security Hub では、サービスにリンクされたロールを使用して AWS のサービスに許可を付与します。次の AWS Identity and Access Management (IAM) アクセス許可により、Security Hub による AWS Config へのアクセスが許可されます。
{<br>"Effect": "Allow",<br>"Action": [<br>"config:PutConfigRule",<br>"config:DeleteConfigRule",<br>"config:GetComplianceDetailsByConfigRule",<br>"config:DescribeConfigRuleEvaluationStatus"<br>],<br>"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"<br>}<br>詳細については、「AWS Security Hub のサービスにリンクされたロールの使用」を参照してください。