Por que recebi um erro do AWS Config depois de ativar o AWS Security Hub?

Breve descrição

Ao configurar o AWS Security Hub, você pode ter um dos seguintes erros:

• “AWS Config is not enabled on some accounts.”
• “AWS Config is not enabled in all regions.”
• “An error has occurred with AWS Config. Contact AWS Support.”

Resolução

Use as seguintes práticas recomendadas para configurar e solucionar problemas do AWS Config com o Security Hub:

Observação: as regras do AWS Config criadas pelo Security Hub não incorrem em custos adicionais.

Verifique se o AWS Config está ativado na mesma região da AWS que o Security Hub

Ative manualmente o AWS Config na mesma região do Security Hub da seguinte maneira:

1.    Abra o console do AWS Config na mesma região em que o Security Hub está ativado.

2.    Se o AWS Config não estiver ativado, siga as instruções para configurar o AWS Config com o console.

Observação: se você tiver o Security Hub configurado em várias regiões, repita essas etapas para cada região.

Verificar se o AWS Config está registrando todos os recursos, inclusive globais, em sua região

Modifique o tipo de recursos que o AWS Config registra da seguinte maneira:

1.    Abra o console do AWS Config e escolha Configurações.

2.    Em Configurações, confirme se a gravação está ativada.

3.    Em Tipos de recursos para gravar, selecione Registre todos os recursos suportados nesta região.

4.     Em Tipos de recursos para gravar, selecione Incluir tipos de recursos registrados globalmente (ex.: recursos do AWS IAM).

5.    Escolha Salvar.

Observação:

• essas configurações se aplicam a todas as contas da AWS configuradas com o Security Hub, incluindo contas de membros do AWS Organizations.
• Você não precisa gravar todos os tipos de recursos no AWS Config. No entanto, certifique-se de que os tipos de recursos necessários para os controles de CIS, PCI DSS e práticas recomendadas de segurança fundamental da AWS estejam sendo gravados.
• Você não precisa ativar os recursos globais em todas as regiões. Para evitar configurações duplicadas, ative as configurações globais somente na mesma região da AWS que o Security Hub por conta da AWS.
• Pode levar até 24 horas para que as configurações do gravador sejam concluídas.

Usar os padrões de filtro de log do Amazon CloudWatch para pesquisar dados de log do AWS CloudTrail

Pesquise e solucione as mensagens de erro do AWS Config da seguinte forma:

1.    Siga as etapas de 1 a 4 em Pesquisar entradas de log usando o console.

2.    Em Filtro, cole o exemplo de sintaxe a seguir e escolha Enter no seu dispositivo:

EventSource: config.amazonaws.com<br>

3.    Observe o erro. Em seguida, siga as instruções em Como posso solucionar mensagens de erro do console do AWS Config?

Verificar as permissões no perfil vinculado ao serviço Security Hub

O AWS Security Hub usa perfis vinculados a serviços para fornecer permissões aos serviços da AWS. A seguinte permissão do AWS Identity and Access Management (IAM) permite o acesso ao AWS Config com o Security Hub:

{<br>"Effect": "Allow",<br>"Action": [<br>"config:PutConfigRule",<br>"config:DeleteConfigRule",<br>"config:GetComplianceDetailsByConfigRule",<br>"config:DescribeConfigRuleEvaluationStatus"<br>],<br>"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"<br>}<br>

Para mais informações, consulte Como usar funções vinculadas ao serviço para o AWS Security Hub.

---

Informações relacionadas

AWS Security Hub agora com disponibilidade geral