Security Hub の各セキュリティ基準を検出するために Config で最低限記録を有効化する必要のあるリソースタイプを教えてください
困っていた内容
Security Hub 利用の前提条件として、Config の記録を有効化する必要がある認識です。
一方で、費用削減のため最低限のリソースタイプのみ記録を有効化したいです。
Security Hub の各セキュリティ基準(FSBP,CIS など)の利用時に、最低限 Config にて記録を有効化する必要のあるリソースタイプを教えてください。
どう対応すればいいの?
以下の AWS 公式ドキュメントをご確認ください。
Security Hub 全体、及び各セキュリティ基準の検出に必要となるリソースタイプの一覧が記載されています。
今後の新たなコントロールの追加などにより、検出に必要となるリソースタイプが増減する可能性がありますので、記載内容の更新を随時ご確認ください。
コントロール検出結果の生成に必要な AWS Config リソース - AWS Security Hub
AWS Security Hub は、コントロールに対するセキュリティチェックを実行することによりコントロール検出結果を生成します。一部のコントロールは AWS Config ルールを使用し、関連する AWS Config リソースを持ちます。スケジュールタイプが変更トリガーであるコントロールについて、Security Hub が正確に検出結果をレポートするためには、AWS Config で、以下のリソースの記録を有効にする必要があります。次のセクションでは、標準全体で必要なリソースのリストと、必要なリソースを標準ごとに分類したリストを示します。
なお、一部のリソースのみを記録するように設定した場合、AWS Config コントロール [Config.1] が失敗する点にはご注意ください。
AWS Config コントロール - AWS Security Hub
[Config.1]AWS Config を有効にする必要があります
(中略)
このコントロールは、現在のリージョンのアカウントで AWS Config が有効になっているかどうか、またすべてのリソースを記録しているかどうかをチェックします。AWS Config が有効になっていない場合や、すべてのリソースを記録していない場合、コントロールは失敗します。
参考資料
コントロール検出結果の生成に必要な AWS Config リソース - AWS Security Hub
AWS Config コントロール - AWS Security Hub
【Security Hub修復手順】[Config.1] AWS Config を有効にする必要があります | DevelopersIO