使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

AWSConfig StackSet创建了许多桶(SecurityHub所需)。

0

【以下的问题经过翻译处理】 你好,

我正在启用我的账户上的SecurityHub,因此要求在所有区域的所有账户上启用AWS Config。找到了自动执行此操作的AWSConfig StackSet。这是非常好的自动化,但是我需要为所有区域获取存储桶吗?这已经有大约20个存储桶了,并且账户中常规S3的配额为100。一个账户已经达到了存储桶限制。看起来配置日志占用了S3配额的20%,这似乎有些奇怪...

我已经在安全工具账户上启用了配置聚合器,但这似乎没有帮助解决问题。

有人能确认这是预期行为,或者建议采用其他方法吗?

谢谢!

profile picture
专家
已提问 1 年前81 查看次数
1 回答
0

【以下的回答经过翻译处理】 你好,

感谢联系我们。我了解您担心需要在每个区域启用S3存储桶,以满足CIS AWS基础基准控制2.5的合规要求-确保启用AWS Config以便服务的AWS账户。

您可以使用一个S3存储桶来满足合规要求中的所有区域。您不需要每个区域使用单独的存储桶。安全中心服务执行的审核步骤在下面的文档中概述,纠正措施的第6步(第72页)提到如下:

“指定同一账户中的S3存储桶或另一个托管的AWS账户中的S3存储桶” https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf

因此,您可以将此解决方案纳入到您的实现中。

我希望这可以解决您的担忧。如果您有任何进一步的问题,我们可以为您解答!

profile picture
专家
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则