Pourquoi une erreur AWS Config est-elle survenue après l'activation d'AWS Security Hub ?

Brève description

Lors de la configuration d'AWS Security Hub, vous pouvez rencontrer l'une des erreurs suivantes :

• « AWS Config is not enabled on some accounts. » (AWS Config n'est pas activé sur certains comptes.)
• « AWS Config is not enabled in all regions. » (AWS Config n'est pas activé dans toutes les régions.)
• « An error has occurred with AWS Config. (Une erreur s'est produite avec AWS Config.) Contacter AWS Support. »

Solution

Utilisez les bonnes pratiques suivantes pour configurer et dépanner AWS Config avec Security Hub :

Remarque : les règles AWS Config créées par Security Hub n'entraînent pas de frais supplémentaires.

Vérifier qu'AWS Config est activé dans la même région AWS que Security Hub

Activez manuellement AWS Config dans la même région que Security Hub, comme suit :

1.    Ouvrez la console AWS Config dans la même région que celle où Security Hub est activé.

2.    Si AWS Config n'est pas activé, suivez les instructions de configuration d'AWS Config avec la console.

Remarque : si Security Hub est configuré dans plusieurs régions, répétez ces étapes pour chaque région.

Vérifier qu'AWS Config enregistre toutes les ressources, notamment celles globales, dans votre région

Modifiez le type de ressources qu'AWS Config enregistre.

1.    Ouvrez la console AWS Config puis choisissez Settings (Paramètres).

2.    Dans Settings (Paramètres), vérifiez que l'enregistrement est activé.

3.    Dans Resource types to record (Types de ressources à enregistrer), sélectionnez Record all resources supported in this region (Enregistrer toutes les ressources prises en charge dans cette région).

4.     Dans Resource types to record (Types de ressources à enregistrer), sélectionnez Include global resources (e.g., AWS IAM resources) (Inclure les ressources globales, par exemple les ressources AWS IAM).

5.    Choisissez Save (Enregistrer).

Remarque :

• ces paramètres s'appliquent à tous vos comptes AWS configurés avec Security Hub, notamment les comptes membres AWS Organizations.
• Il n'est pas nécessaire d'enregistrer tous les types de ressources dans AWS Config. Assurez-vous toutefois que les types de ressources requis pour les contrôles des meilleures pratiques de sécurité fondamentales CIS, PCI DSS et AWS sont enregistrés.
• Vous n'avez pas besoin d'activer les ressources globales dans toutes les régions. Pour éviter la duplication des paramètres de configuration, vous pouvez activer les paramètres globaux uniquement dans la même région AWS que Security Hub pour chaque compte AWS.
• La réalisation des paramètres de l'enregistreur peut prendre jusqu'à 24 heures.

Utiliser les modèles de filtre de journaux Amazon CloudWatch pour rechercher des données de journaux AWS CloudTrail

Recherchez et résolvez les messages d'erreur d'AWS Config comme suit :

1.    Suivez les étapes 1 à 4 de la section Recherche d'entrées de journal à l'aide de la console.

2.    Dans Filter (Filtre), collez l'exemple de syntaxe suivant, puis validez avec la touche « Enter » (Entrée) de votre machine :

EventSource: config.amazonaws.com<br>

3.    Notez l'erreur. Ensuite, suivez les instructions de la section Comment résoudre les messages d'erreur de la console AWS Config ?

Vérifier les autorisations sur le rôle lié à un service Security Hub

AWS Security Hub utilise des rôles liés à un service pour fournir des autorisations aux services AWS. L'autorisation AWS Identity and Access Management (IAM) suivante permet d'accéder à AWS Config avec Security Hub :

{<br>"Effect": "Allow",<br>"Action": [<br>"config:PutConfigRule",<br>"config:DeleteConfigRule",<br>"config:GetComplianceDetailsByConfigRule",<br>"config:DescribeConfigRuleEvaluationStatus"<br>],<br>"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"<br>}<br>

Pour plus d'informations, consultez la section Utilisation des rôles liés à un service pour AWS Security Hub.

---

Informations connexes

AWS Security Hub désormais disponible pour tous