【Security Hub】AWS Config を有効化しているのに「AWS Config を有効にする必要があります」と検出される場合の対処方法

困っていた内容

Security Hub コンソールでセキュリティチェック結果を確認していたところ、AWS Config を有効化しているのに「AWS Config を有効にする必要があります」と検出されていました。

こちらはどのように対応を行うことで PASSED のステータスに変えることができますか？

aws configservice describe-configuration-recorder-status コマンドで対象リージョンの AWS Config が有効化されていることを確認しています。

$ aws configservice describe-configuration-recorder-status --region us-west-2
{
    "ConfigurationRecordersStatus": [
        {
            "name": "default",
            "lastStartTime": "2021-07-03T15:20:26.850000-07:00",
            "lastStopTime": "2021-07-03T15:17:31.526000-07:00",
            "recording": true,
            "lastStatus": "SUCCESS",
            "lastStatusChangeTime": "2022-10-08T12:45:28.851000-07:00"
        }
    ]
}

どう対応すればいいの？

対象となるリージョンの AWS Config コンソールにアクセスし、左ナビゲーションから「設定」をクリックして以下の設定となっているか確認を行なってください。

• 記録するリソースタイプで「このリージョンでサポートされているすべてのリソースを記録します」を選択しているか
• 「グローバルリソース (AWS IAM リソースなど) を含める」にチェックを入れているか

メインリージョン以外で「グローバルリソースを含める」にチェックを入れない場合

メインリージョンでは AWS Config の設定で「グローバルリソースを含める」にチェックを入れているものの、その他のリージョンでは料金面などの考慮から「グローバルリソースを含める」にチェックを入れていない場合があるかと存じます。

その場合は、メインリージョン以外の他リージョンにて対象コントロールを無効にすることをご検討ください。

• [Config.1] AWS Config を有効にする必要があります| AWS Security Hub

グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。

参照情報

• 個々のコントロールの無効化と有効化| AWS Security Hub
• AWS Config により記録が開始されていることを確認します。| AWS Config