Security Hub CSPM で「standards could not be enabled in Region(s)」エラーが出たときの対処方法

こんにちは、クラウド事業本部 コンサルティング部のいたくらです。

Security Hub CSPM の中央設定を適用してみたら、「ポリシーの適用に失敗しました。ポリシーの再適用をお試しください。」と表示されたことはありませんか？私はあります。

今回は、Policy association failed because standards could not be enabled in Region(s) {リージョンコード}. Check if AWS Config is enabled and properly configured and retry. というエラーが出たときの対処法をご紹介します。

どういった状況でこのエラーが出たか？

以下の AWS 環境で作業をしていました。

• AWS Control Tower が有効な AWS Organizations 環境
• 管理アカウントの AWS Config は有効化済み
• Security Hub CSPM の管理者権限を SecurityOU 配下の Audit アカウントに委任
  
• Audit アカウント上で、Security Hub CSPM 中央設定ポリシーを作成し、組織全体に適用
  • 中央設定ポリシーにて Security Hub CSPM を有効にするリージョンは、Control Tower の管理対象リージョン（東京、大阪、バージニア北部）と一致させる方針
    

組織全体に適用後、しばらくしてポリシーのステータスを確認したところ、失敗したポリシーが「2」と表示されていました。
2 カ所で失敗したというよりは、Root 配下の管理アカウントで失敗したことにより、Root のポリシーのステータスも「失敗」判定になってしまったようです。

管理アカウントの「失敗」をクリックすると以下のエラーメッセージが表示されました。
Policy association failed because standards could not be enabled in Region(s) us-east-1, ap-northeast-3. Check if AWS Config is enabled and properly configured and retry.

エラー解消のために実施したこと

AWS Config の設定変更

先ほどのエラーメッセージの日本語訳は、「リージョン us-east-1、ap-northeast-3 でセキュリティ標準を有効化できなかったため、ポリシーの関連付けに失敗しました。AWS Config が有効化され、適切に設定されていることを確認して、再試行してください。」という内容でした。

そこで管理アカウントの Config 設定を確認しました。

まずエラーメッセージの指摘が無かった東京リージョンを見てみます。
「すべてのリソースタイプを連続記録」という設定になっています。この状態が正と言えそうです。

続いて指摘があったバージニア北部リージョンを見てみます。
何か検証していたであろうオーバーライド設定が残っていますね！これが原因のようです。

設定を「すべてのリソースタイプを連続記録」へ修正します。
レコーダーの「編集」をクリックします。

オーバーライド設定をすべて削除します。

すべて削除すると「オーバーライドは追加されませんでした。」という表示が出てくるので、この状態で「保存」をクリックします。

保存が完了すると、先ほど東京リージョンで確認した「すべてのリソースタイプを連続記録」の設定に更新されています。

同様の手順で、指摘があった大阪リージョンについても、「すべてのリソースタイプを連続記録」の設定に修正しました。

ポリシーの再適用

委任先の Audit アカウントにて、ポリシーの再適用を実施します。
Security Hub CSPM の「設定」> 「組織」>「失敗」>「ポリシーの再適用」の順にクリックします。

クリックすると、ポリシーのステータスが「保留中」になります。

しばらく待つと、エラーが解消されてポリシーのステータスがすべて「成功」になりました。

さいごに

AWS Config の設定を変更して、うっかりそのままにしていた自分がエラーの根本原因でした。。。
みなさまも検証等で変更した設定はしっかりと元に戻しましょう。

この記事がどなたかのお役に立てれば幸いです。

以上、クラウド事業本部 コンサルティング部のいたくら（＠itkr2305）でした！