AWSConfig StackSet创建了许多桶(SecurityHub所需)。
0
【以下的问题经过翻译处理】 你好,
我正在启用我的账户上的SecurityHub,因此要求在所有区域的所有账户上启用AWS Config。找到了自动执行此操作的AWSConfig StackSet。这是非常好的自动化,但是我需要为所有区域获取存储桶吗?这已经有大约20个存储桶了,并且账户中常规S3的配额为100。一个账户已经达到了存储桶限制。看起来配置日志占用了S3配额的20%,这似乎有些奇怪...
我已经在安全工具账户上启用了配置聚合器,但这似乎没有帮助解决问题。
有人能确认这是预期行为,或者建议采用其他方法吗?
谢谢!
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 你好,
感谢联系我们。我了解您担心需要在每个区域启用S3存储桶,以满足CIS AWS基础基准控制2.5的合规要求-确保启用AWS Config以便服务的AWS账户。
- CIS AWS基础基准控制-2.5-确保启用AWS Config- https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html#securityhub-cis-controls-2.5
您可以使用一个S3存储桶来满足合规要求中的所有区域。您不需要每个区域使用单独的存储桶。安全中心服务执行的审核步骤在下面的文档中概述,纠正措施的第6步(第72页)提到如下:
“指定同一账户中的S3存储桶或另一个托管的AWS账户中的S3存储桶” https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf
因此,您可以将此解决方案纳入到您的实现中。
我希望这可以解决您的担忧。如果您有任何进一步的问题,我们可以为您解答!
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 3 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前