AWS Security Hub の中に
〜Status や 〜State というような状態を表す属性が複数存在します。
ドキュメントの文章では関連性が解りにくかったので、それぞれがどのように関連・遷移するのかを整理してみました。
状態遷移図
属性
(AWS Config) Compliance Type
Security Hub を利用する前提条件となっている AWS Config の属性の一つ。
- Compliant(準拠)
- リソースを評価するすべての Config ルールに準拠している
- Non Compliant(非準拠)
- リソースを評価する Config ルールの1つ以上に準拠していない
- Not Applicable
- リソースが削除されたか、ルールのスコープから削除された場合に発生する
- Insufficient Data
- Config ルールの評価結果が利用できない
Record State
オプションの最上位属性 (RecordState)
用語と概念 - AWS Security Hub - アーカイブ済みの結果
結果を送信するサービスから入ってきた段階での状態。
- Active
- サービスによって最初に生成されたときの結果
- Archived から Active に変更され、 Workflow Status が Suppressed でない場合は、Workflow Status が自動的に New に設定される
- Archived
- 結果がビューで非表示になるべきであることを示す
- リソースが存在しない、コントロールが無効、または、3〜5日間結果が更新されていない(ベストエフォート)場合、自動的に設定される
Compliance Status
結果からのコントロールの全体的なステータスの特定 - AWS Security Hub
Security Hub コントロールでの評価結果。各リソース毎に持つ。
- Passed (成功)
- チェックに合格
- Workflow Status が自動的に Resolved に設定される
- Failed (失敗)
- チェックに不合格
- Warning
- チェックを完了したが、Security Hub が結果を判断できないことを示す
- Non Available
- チェックを完了できない
- サーバ障害
- リソースが存在しない
- AWS Config の評価結果が "Not Applicable"
- Record State が自動的に Archived に設定される
- チェックを完了できない
Control Status
Security Hub コントロールでのリソース全体の評価結果。
Workflow Status が Suppressed の結果は無視される。
Disabled > Failed > Unknown > Passed の順で優先される。
- Passed (成功)
- Compliance Status が全て Passed
- Failed (失敗)
- Compliance Status が1つ以上 Failed
- Unknown (不明)
- Failed が 0 且つ、Compliance Status が1つ以上 Warning または Non Available
- No Data (データなし)
- 結果がないことを示す
- 結果が未生成
- 全ての Workflow Status が Suppressed
- 結果がないことを示す
- Disabled (無効)
- コントロールが無効になっており、チェックが実行されていない
Workflow Status
結果のワークフローステータスを設定する - AWS Security Hub
結果に対する進行状況を追跡するために(運用者が)設定する。 個々の結果に固有のもので、新しい結果の生成には影響しない。
- New (新規)
- 初期状態。調査が必要であることを示す
- Notified (通知済み)
- リソース所有者に通知したことを示す
- 判別に利用するのみであり、自動的に遷移することはない。
- Suppressed (抑制済み)
- アクションが必要と判断しなかった事を示す
- 自動的な状態遷移の対象から除外される
- Resolved (解決済み)
- レビューおよび修正のアクションが実施され、現在は解決済みと見なされていることを示す
- Compliance Status が Passed の場合に自動的に設定される
