本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub CSPM 中配置策略的工作原理
<a name="configuration-policies-overview"></a>

授权的 S Amazon ecurity Hub CSPM 管理员可以创建配置策略来为组织配置 Security Hub CSPM、安全标准和安全控制。创建配置策略后，授权的管理员可以将其与特定账户、组织单位 (OUs) 或根相关联。然后，该策略在指定的账户或根账户中生效。 OUs

有关中心配置的好处及其工作原理的背景信息，请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。

本节详细概述了配置策略。

## 策略注意事项
<a name="configuration-policies-considerations"></a>

在 Security Hub CSPM 中创建配置策略之前，请注意以下事项。
+ **必须关联配置策略才能生效** — 创建配置策略后，可以将其与一个或多个账户、组织单位 (OUs) 或根相关联。配置策略可以与账户关联，也可以 OUs 通过直接应用程序关联，也可以通过从父 OU 继承来关联。
+ **一个账户或 OU 只能与一个配置策略相关联** – 为防止设置冲突，一个账户或 OU 在任何给定时间只能与一个配置策略相关联。或者，也可以对账户或 OU 进行自行管理。
+ **配置策略已完成** — 配置策略提供了完整的设置规范。例如，子账户不能接受一个策略中的某些控件的设置和另一个策略中其他控件的设置。当您将策略与子账户关联时，请确保该策略指定了您希望该子账户使用的所有设置。
+ **配置策略无法恢复 — 在将**配置策略与账户关联后，无法选择恢复配置策略或 OUs。例如，如果您将禁用 CloudWatch 控件的配置策略与特定账户关联，然后取消该策略的关联，则该账户中的 CloudWatch 控件将继续处于禁用状态。要再次启用 CloudWatch 控件，您可以将该账户与启用控件的新策略相关联。或者，您可以将帐户更改为自我管理并启用帐户中的每个 CloudWatch 控件。
+ **配置策略在您的主区域和所有关联区域生效** — 配置策略会影响主区域中的所有关联账户以及所有关联区域。您无法创建仅在其中某些区域生效而不在其他区域生效的配置策略。唯一的例外是[使用全球资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。

  在 2019 年 3 月 20 日当天或之后 Amazon 推出的区域被称为选择加入区域。必须先为账户启用这样的区域，然后配置策略才会在该区域生效。组织管理账户可以为成员账户启用选择加入区域。有关启用可选区域的说明，请参阅《[账户*管理参考指南》中的指定 Amazon Web Services 区域 您的Amazon 账户*可以使用哪个](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)区域。

  如果您的策略配置的控件在主区域或一个或多个关联区域中不可用，则 Security Hub CSPM 会跳过不可用区域中的控件配置，但会在控件可用的区域中应用该配置。您无法覆盖在主区域或任何关联区域中不可用的控件。
+ **配置策略即资源** — 作为资源，配置策略有 Amazon 资源名称（ARN）和通用唯一标识符（UUID）。ARN 使用以下格式：`arn:{{partition:}}securityhub:{{region}}:{{delegated administrator account ID}}:configuration-policy/{{configuration policy UUID}}`。自行管理配置没有 ARN 或 UUID。自行管理配置的标识符为 `SELF_MANAGED_SECURITY_HUB`。

## 配置策略的类型
<a name="policy-types"></a>

每个配置策略指定以下设置：
+ 启用或禁用 Security Hub CSPM。
+ 启用一项或多项[安全标准](standards-reference.md)。
+ 指明在已启用的标准中启用了哪些[安全控件](securityhub-controls-reference.md)。您可以通过提供应启用的特定控件列表来实现这一点，而 Security Hub CSPM 会禁用所有其他控件（包括新发布的控件）。或者，您可以提供应禁用的特定控件列表，Security Hub CSPM 将启用所有其他控件（包括新发布的控件）。
+ （可选）在已启用的标准中为选定的已启用控件[自定义参数](https://docs.amazonaws.cn/securityhub/latest/userguide/custom-control-parameters.html)。

中央配置策略不包括 Amazon Config 录制器设置。为了让 Secur Amazon Config ity Hub CSPM 生成控制结果，必须单独启用和开启所需资源的记录。有关更多信息，请参阅 [启用和配置前的注意事项 Amazon Config](securityhub-setup-prereqs.md#securityhub-prereq-config)。

如果您使用中心配置，Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内，您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。

如果涉及全局资源的已启用控件在主区域不受支持，则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置，您无法覆盖在主区域或任何关联区域中不可用的控件。

有关涉及全球资源的控件列表，请参阅[使用全局资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。

### 建议的配置策略
<a name="recommended-policy"></a>

*首次在 Security Hub CSPM 控制台中*创建配置策略时，您可以选择 Security Hub CSPM 推荐的策略。

推荐的策略启用 Security Hub CSPM、 Amazon 基础安全最佳实践 (FSBP) 标准以及所有现有和新的 FSBP 控件。接受参数的控件使用默认值。推荐的策略适用于 root（所有账户 OUs，包括新账户和现有账户）。为您的组织创建推荐的策略后，您可以通过委派管理员账户对其进行修改。例如，您可以启用其他标准或控件或禁用特定的 FSBP 控件。有关修改配置策略的说明，请参阅[更新配置策略](update-policy.md)。

### 自定义配置策略
<a name="custom-policy"></a>

委派管理员最多可以创建 20 个自定义配置策略，而不是推荐的策略。您可以将单个自定义策略与整个组织相关联，也可以将不同的自定义策略与不同的账户相关联，以及 OUs。对于自定义配置策略，您可以指定所需的设置。例如，您可以创建自定义策略，启用 FSBP、 Center for Internet Security（CIS） Amazon 基金会基准 v1.4.0 以及这些标准中除了 Amazon Redshift 控件之外的所有控件。您在自定义配置策略中使用的粒度级别取决于整个组织的预期安全覆盖范围。

**注意**  
您无法将禁用 Security Hub CSPM 的配置策略与委派管理员账户相关联。这样的策略可以与其他账户关联，但会跳过与委派管理员的关联。委派管理员账户保留其当前配置。

创建自定义配置策略后，您可以更新配置策略，切换到推荐的配置策略，从而反映推荐的配置。但是，在创建第一个策略后，您无法在 Security Hub CSPM 控制台中看到创建推荐配置策略的选项。

## 通过应用和继承进行策略关联
<a name="policy-association"></a>

当你第一次选择使用中心配置时，你的组织没有任何关联关系，其行为方式与选择加入之前相同。然后，授权的管理员可以在配置策略或自我管理的行为和帐户（或根帐户）之间建立关联。 OUs可以通过*应用*或*继承*来建立关联。

通过委派管理员账户，您可以直接将配置策略应用于账户、OU 或根。或者，委派管理员可以对账户、OU 或根直接应用自行管理指定。

在没有直接应用的情况下，账户或 OU 会继承具有配置策略或自行管理行为的最近父级的设置。如果最近的父级与配置策略相关联，则子级将继承该策略，并且只能由来自主区域的委派管理员进行配置。如果最亲近的父母是自我管理的，则孩子将继承自我管理的行为，并且能够在每个行为中指定自己的设置。 Amazon Web Services 区域

应用优先于继承。换句话说，继承不能覆盖委派管理员直接应用于账户或 OU 的配置策略或自行管理指定。

如果您对自行管理的账户直接应用配置策略，则该策略将覆盖自行管理指定。账户将变成集中管理，并采用配置策略中反映的设置。

我们建议对根直接应用配置策略。如果您对根应用策略，则加入组织的新账户将自动继承根策略，除非您将这些账户与其他策略关联或将其指定为自行管理。

在给定时间，只能通过应用或继承将配置策略与账户或 OU 关联。这旨在防止设置冲突。

下图说明了策略应用和继承在中心配置中的工作原理。

![应用和继承 Security Hub CSPM 配置策略](http://docs.amazonaws.cn/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


在此示例中，以绿色突出显示的节点具有已应用于该节点的配置策略。以蓝色突出显示的节点不具有已应用于该节点的配置策略。以黄色突出显示的节点已被指定为自行管理。每个账户和 OU 都使用以下配置：
+ **OU:Root（绿色）**— 此 OU 使用已应用于它的配置策略。
+ **OU:Prod（蓝色）**— 此 OU 继承了 OU:Root 的配置策略。
+ **OU:Applications（绿色）**— 此 OU 使用已应用于它的配置策略。
+ **账户 1（绿色）**— 此账户使用已应用于它的配置策略。
+ **账户 2（蓝色）**：此账户继承了 OU:Applications 的配置策略。
+ **OU:Dev（黄色）**— 此 OU 是自行管理的。
+ **账户 3（绿色）**— 此账户使用已应用于它的配置策略。
+ **账户 4（蓝色）**— 此账户继承了 OU:Dev 的自行管理行为。
+ **OU:Test（蓝色）**— 此 OU 继承了 OU:Root 的配置策略。
+ **账户 5（蓝色）**— 此账户继承了 OU:Root 的配置策略，因为其直系父级 OU:Test 未与配置策略关联。

## 测试配置策略
<a name="test-policy"></a>

为确保您了解配置策略的工作原理，我们建议您创建一个策略并将其与测试账户或 OU 关联。

**要测试配置策略**

1. 创建自定义配置策略，并验证 Security Hub CSPM 启用、标准和控件的指定设置是否正确。有关说明，请参阅[创建和关联配置策略](create-associate-policy.md)。

1. 将配置策略应用于没有任何子账号的测试账号或 OU 或 OUs。

1. 验证测试账户或 OU 在您的主区域和所有关联区域中是否按预期方式使用配置策略。您还可以验证组织 OUs 内的所有其他账户是否保持自我管理状态，并且可以在每个区域中更改自己的设置。

在单个账户或 OU 中测试配置策略后，您可以将其与其他账户关联和 OUs。