Perché ho visualizzato un errore AWS Config dopo aver attivato la Centrale di sicurezza AWS?

Breve descrizione

Durante la configurazione della Centrale di sicurezza AWS, potresti visualizzare uno dei seguenti errori:

• "AWS Config non è abilitato su alcuni account."
• "AWS Config non è abilitato in tutte le regioni."
• "Si è verificato un errore con AWS Config. Contatta il Supporto AWS."

Risoluzione

Utilizza le seguenti best practice per configurare e risolvere i problemi di AWS Config con la Centrale di sicurezza:

Nota: le regole di AWS Config create dalla Centrale di sicurezza non comportano costi aggiuntivi.

Verifica che AWS Config sia attivato nella stessa regione AWS della Centrale di sicurezza

Attiva manualmente AWS Config nella stessa regione della Centrale di sicurezza come segue:

1.    Apri la Console AWS Config nella stessa regione in cui hai attivato la Centrale di sicurezza.

2.    Se AWS Config non è attivato, segui le istruzioni per configurare AWS Config con la console.

Nota: se la Centrale di sicurezza è configurata in più regioni, ripeti questi passaggi per ciascuna regione.

Verifica che AWS Config stia registrando tutte le risorse, comprese quelle globali, nella tua regione

Modifica il tipo di risorse nei record di AWS Config come segue:

1.    Apri la console AWS Config e seleziona Impostazioni.

2.    In Impostazioni, conferma che la registrazione sia attiva.

3.    In Tipi di risorse da registrare, seleziona Registra tutte le risorse supportate in questa regione.

4.     In Tipi di risorse da registrare, seleziona Includi risorse globali (ad esempio risorse AWS IAM).

5.    Seleziona Salva.

Nota:

• queste impostazioni si applicano a tutti gli account AWS configurati con la Centrale di sicurezza, inclusi gli account dei membri di AWS Organizations.
• Non è necessario registrare tutti i tipi di risorse in AWS Config. Tuttavia, assicurati che siano registrati i tipi di risorse richiesti per i controlli delle migliori pratiche di sicurezza fondamentali CIS, PCI DSS e AWS.
• Non è necessario attivare le risorse globali in tutte le regioni. Per evitare impostazioni di configurazione duplicate, puoi attivare le impostazioni globali solo nella stessa regione AWS della Centrale di sicurezza per l'account AWS.
• Il completamento delle impostazioni del registratore può richiedere fino a 24 ore.

Usa i modelli di filtro dei log di Amazon CloudWatch per cercare i dati di log di AWS CloudTrail

Cerca e risolvi i messaggi di errore di AWS Config come segue:

1.    Segui i passaggi da 1 a 4 in Ricerca voci di log utilizzando la console.

2.    In Filtri, incolla la seguente sintassi di esempio, quindi seleziona invio sul tuo dispositivo:

EventSource: config.amazonaws.com<br>

3.    Annota l'errore. Quindi, segui le istruzioni per Come faccio a risolvere i messaggi di errore della console AWS Config?

Verifica le autorizzazioni sul ruolo collegato al servizio della Centrale di sicurezza

La Centrale di sicurezza AWS utilizza ruoli collegati al servizio per fornire autorizzazioni ai servizi AWS. La seguente autorizzazione AWS Identity and Access Management (IAM) consente l'accesso ad AWS Config con la Centrale di sicurezza:

{<br>"Effect": "Allow",<br>"Action": [<br>"config:PutConfigRule",<br>"config:DeleteConfigRule",<br>"config:GetComplianceDetailsByConfigRule",<br>"config:DescribeConfigRuleEvaluationStatus"<br>],<br>"Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"<br>}<br>

Per maggiori informazioni, consulta Utilizzo dei ruoli collegati al servizio per la Centrale di sicurezza AWS.

---

Informazioni correlate

Centrale di sicurezza AWS ora disponibile a livello generale