AWS Security Hub를 활성화한 후 AWS Config 오류가 발생하는 이유는 무엇입니까?

최종 업데이트 날짜: 2020년 7월 1일

AWS Security Hub 설정 지침을 따랐는데 다음과 유사한 오류가 발생했습니다.

"AWS Config is not enabled on some accounts."

"AWS Config is not enabled in all regions”

"An error has occurred with AWS Config. Contact AWS Support."

해결 방법

다음 모범 사례를 사용하여 Security Hub로 AWS Config를 구성하고 문제를 해결하세요.

참고: Security Hub에서 생성된 AWS Config 규칙에는 추가 비용이 발생하지 않습니다.

AWS Config가 Security Hub와 동일한 AWS 리전에 활성화되어 있는지 확인

AWS Config는 Security Hub와 동일한 리전에서 수동으로 활성화해야 합니다.

1.    Security Hub를 활성화한 것과 동일한 리전에서 AWS Config 콘솔을 엽니다.

2.    AWS Config가 활성화되지 않으면 콘솔을 통해 AWS Config 설정 지침을 따르세요.

참고: 여러 리전에 Security Hub가 구성되어 있다면 각 리전에 이 단계를 반복하세요.

AWS Config가 리전에서 글로벌 리소스를 포함한 모든 리소스를 기록하는지 확인

AWS Config가 기록하는 리소스 유형을 수정할 수 있습니다.

1.     AWS Config 콘솔을 열고 [설정]을 선택합니다.

2.    설정에서 레코딩이 켜져 있는지 확인합니다.

3.    기록할 리소스 유형에서 [이 리전에서 지원되는 모든 리소스 기록]을 선택합니다.

4.     기록할 리소스 유형에서 [글로벌 리소스 포함(예: AWS IAM 리소스)]을 선택합니다.

5.    [저장]을 선택합니다.

참고:

  • 이 설정은 AWS Organizations 멤버 계정을 포함하여 Security Hub로 구성된 모든 AWS 계정에 적용됩니다.
  • AWS Config에서 모든 리소스 유형을 기록하고 싶지 않다면 CIS, PCI DSS, AWS Foundational Security Best Practices 제어에 필요한 리소스 유형이 기록되는지 확인하세요.
  • 모든 리전에 글로벌 리소스를 활성화하지 않아도 됩니다. 구성 설정이 중복되지 않게 하려면 각 계정에서 Security Hub와 동일한 AWS 리전에만 글로벌 설정을 활성화할 수 있습니다.
  • 레코더 설정을 완료하는 데 최대 24시간이 소요될 수 있습니다.

Amazon CloudWatch 로그 필터 패턴을 사용하여 AWS CloudTrail 로그 데이터 검색

이 지침을 사용하여 AWS Config 오류 메시지를 검색하고 문제를 해결하세요.

1.    콘솔을 통한 로그 항목 검색 1~4단계를 따릅니다.

2.    [필터]에 다음의 예시 구문을 붙여넣은 다음, 디바이스에서 Enter를 선택합니다.

EventSource: config.amazonaws.com

3.    오류를 기록해둡니다. 그런 다음, AWS Config 콘솔 오류 메시지를 해결하려면 어떻게 해야 합니까?의 지침을 따릅니다.

Security Hub 서비스 연결 역할의 권한 확인

AWS Security Hub는 서비스 연결 역할을 사용하여 AWS 서비스에 권한을 제공합니다. 다음의 AWS Identity and Access Management(IAM) 권한을 사용하여 Security Hug로 AWS Config에 액세스할 수 있습니다.

{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:GetComplianceDetailsByConfigRule",
"config:DescribeConfigRuleEvaluationStatus"
],
"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
}

자세한 내용은 AWS Security Hub에 서비스 연결 역할 사용을 참조하세요.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?