Control Tower 更新至 Landing Zone 3.0 导致 Security Hub 的 AWS 基础安全最佳实践规则 Config.1 失败?

0

【以下的问题经过翻译处理】 组织正在将其账户更新为Control Tower Landing Zone 3.0。 在这样做的过程中,我们发现升级后的账户无法通过Security Hub AWS基本安全最佳实践规则Config.1“应启用AWS Config”。故障似乎是由于Config的更改引起的,其中全局资源记录仅在主Control Tower区域中发生。我们看到的Config.1失败是在辅助区域中,我们确认故障账户在辅助区域中没有全局资源记录活动。

是否有计划更新Security Hub规则以反映Control Tower的更改? Control Tower做对了,我们只需要在一个区域记录全局资源。而且,将Landing Zone 3.0的更改撤消非常烦人,因为我们必须将账户移出CT管理的OU或者以CT角色登录以更改Config。

1 回答
0

【以下的回答经过翻译处理】 今年的 re:Invent 上,进行了多次讨论,并正在与一位 SA 合作演示这个问题。 SH 检查落后于 Control Tower,保护 Config 中不是你的主要/家庭区域的所有区域的设置。 目前我正在考虑的替代方案是使用以下解决方案全局禁用检查并添加描述: https://github.com/aws-samples/aws-security-hub-cross-account-controls-disabler

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则