この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
困っていた内容
Security Hub コンソールでセキュリティチェック結果を確認していたところ、AWS Config を有効化しているのに「AWS Config を有効にする必要があります」と検出されていました。
こちらはどのように対応を行うことで PASSED のステータスに変えることができますか?
aws configservice describe-configuration-recorder-status コマンドで対象リージョンの AWS Config が有効化されていることを確認しています。
$ aws configservice describe-configuration-recorder-status --region us-west-2
{
"ConfigurationRecordersStatus": [
{
"name": "default",
"lastStartTime": "2021-07-03T15:20:26.850000-07:00",
"lastStopTime": "2021-07-03T15:17:31.526000-07:00",
"recording": true,
"lastStatus": "SUCCESS",
"lastStatusChangeTime": "2022-10-08T12:45:28.851000-07:00"
}
]
}
どう対応すればいいの?
対象となるリージョンの AWS Config コンソールにアクセスし、左ナビゲーションから「設定」をクリックして以下の設定となっているか確認を行なってください。
- 記録するリソースタイプで「このリージョンでサポートされているすべてのリソースを記録します」を選択しているか
- 「グローバルリソース (AWS IAM リソースなど) を含める」にチェックを入れているか
メインリージョン以外で「グローバルリソースを含める」にチェックを入れない場合
メインリージョンでは AWS Config の設定で「グローバルリソースを含める」にチェックを入れているものの、その他のリージョンでは料金面などの考慮から「グローバルリソースを含める」にチェックを入れていない場合があるかと存じます。
その場合は、メインリージョン以外の他リージョンにて対象コントロールを無効にすることをご検討ください。
グローバルリソースを 1 つのリージョンにのみ記録する場合は、グローバルリソースを記録するリージョン以外のすべてのリージョンでこのコントロールを無効にすることができます。