创建和关联 Security Hub 配置策略 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建和关联 Security Hub 配置策略

委托管理员账户可以创建 Amazon Security Hub 配置策略并将其与组织账户、组织单位(OU)或根相关联。

如果您是首次创建配置策略,我们建议您先查看 Security Hub 配置策略的工作原理

选择您的首选访问方法,然后按照步骤创建和关联配置策略。使用 Security Hub 控制台时,您可以同时将配置策略应用于多个账户或 OU。使用 Security Hub API 或 Amazon CLI 时,您只能在每个请求中将配置策略应用于一个账户或 OU。

Security Hub console
要创建和关联配置策略

  1. 通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 在导航窗格中,选择配置策略选项卡。然后选择创建策略

  3. 如果这是您第一次创建配置策略,则在配置组织页面上,可以在配置类型下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到自定义策略选项。

    • 选择在整个组织中使用 Amazon 推荐的 Security Hub 配置,以使用我们推荐的策略。推荐的策略在所有组织账户中启用 Security Hub、Amazon 基础安全最佳实践(FSBP)标准以及所有新的和现有的 FSBP 控件。控件使用默认参数值。

    • 选择我还没准备好配置,以稍后创建配置策略。

    • 选择自定义策略,以创建自定义配置策略。指定是启用还是禁用 Security Hub、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定自定义参数值

  4. 账户部分,选择要将配置策略应用于哪些目标账户、OU 或根。

    • 如果要将配置策略应用于根,请选择所有账户。这包括组织中所有未应用或继承其他策略的账户和 OU。

    • 如果要将配置策略应用于特定账户或 OU,请选择特定账户。输入账户 ID,或者从组织结构中选择账户和 OU。您最多可以指定 15 个要应用策略的账户或 OU。要指定更多,请在创建策略后对编辑策略,然后将其应用于其他账户。

    • 选择仅限委托管理员,将配置策略应用于当前的委托管理员账户。

  5. 选择下一步

  6. 查看和应用页面上,查看您的配置策略详细信息。然后选择创建并应用策略。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。已应用目标的子账户和 OU 将自动继承此配置策略,除非它们被排除在外、自行管理或使用不同的配置策略。

Security Hub API
要创建和关联配置策略

  1. 从主区域的 Security Hub 委托管理员账户调用 CreateConfigurationPolicy API。

  2. 对于 Name,输入配置策略的唯一名称。(可选)对于 Description,为配置策略提供描述。

  3. ServiceEnabled 字段中,指定要在此配置策略中启用还是禁用 Security Hub。

  4. EnabledStandardIdentifiers 字段中,指定要在此配置策略中启用哪些 Security Hub 标准。

  5. 对于 SecurityControlsConfiguration 对象,请在此配置策略中指定要启用或禁用的控件。选择 EnabledSecurityControlIdentifiers 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 DisabledSecurityControlIdentifiers 意味着指定的控件被禁用。属于已启用标准的其他控件(包括新发布的控件)将被启用。

  6. 或者,在 SecurityControlCustomParameters 字段中,指定要为其自定义参数的已启用控件。为 ValueType 字段提供 CUSTOM,为 Value 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅自定义控制参数

  7. 要将您的配置策略应用于账户或 OU,请从主区域的 Security Hub 委托管理员账户中调用 StartConfigurationPolicyAssociation API。

  8. 请为 ConfigurationPolicyIdentifier 字段提供策略的 Amazon 资源名称(ARN)或 ID。此 ARN 和 ID 由 CreateConfigurationPolicy API 返回。

  9. Target 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个 API 请求中提供一个目标。所选目标的子账户和 OU 将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。

用于创建配置策略的 API 请求示例:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

用于关联配置策略的 API 请求示例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
Amazon CLI
要创建和关联配置策略

  1. 从主区域的 Security Hub 委托管理员账户运行 create-configuration-policy 命令。

  2. 对于 name,输入配置策略的唯一名称。(可选)对于 description,为配置策略提供描述。

  3. ServiceEnabled 字段中,指定要在此配置策略中启用还是禁用 Security Hub。

  4. EnabledStandardIdentifiers 字段中,指定要在此配置策略中启用哪些 Security Hub 标准。

  5. SecurityControlsConfiguration 字段中,请在此配置策略中指定要启用或禁用的控件。选择 EnabledSecurityControlIdentifiers 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 DisabledSecurityControlIdentifiers 意味着指定的控件被禁用。适用于您已启用标准的其他控件(包括新发布的控件)已启用。

  6. 或者,在 SecurityControlCustomParameters 字段中,指定要为其自定义参数的已启用控件。为 ValueType 字段提供 CUSTOM,为 Value 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅自定义控制参数

  7. 要将您的配置策略应用于账户或 OU,请从主区域的 Security Hub 委托管理员账户中运行 start-configuration-policy-association 命令。

  8. 请为 configuration-policy-identifier 字段提供配置策略的 Amazon 资源名称(ARN)或 ID。此 ARN 和 ID 由 create-configuration-policy 命令返回。

  9. target 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。

用于创建配置策略的命令示例:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

用于关联配置策略的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociation API 返回一个名为 AssociationStatus 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILURE 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅配置的关联状态