本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建和关联配置策略
委派的 Amazon Security Hub 管理员账户可以创建配置策略,指定如何在指定账户和组织单位中配置 Security Hub、标准和控件(OUs)。只有在授权的管理员将配置策略与至少一个账户或组织单位 (OUs) 或 root 关联后,配置策略才会生效。委派的管理员还可以将自我管理的配置与账户OUs、或 root 关联起来。
如果您是首次创建配置策略,我们建议您先查看 配置策略在 Security Hub 中的工作原理。
选择您的首选访问方法,然后按照步骤创建和关联配置策略或自管理配置。使用 Security Hub 控制台时,您可以将一个配置与多个账户关联或OUs同时关联。使用 Security Hub API 或时 Amazon CLI,您只能将配置与每个请求中的一个账户或 OU 关联。
注意
如果您使用中央配置,Security Hub 会自动禁用涉及除本地区之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件将在所有可用区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。当您使用中央配置时,您无法覆盖主区域或任何关联区域中不可用的控件。有关涉及全局资源的控件列表,请参阅使用全局资源的控件。
- Security Hub console
-
要创建和关联配置策略
打开 Amazon Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/
。 使用主区域中委托 Security Hub 管理员账户的凭证登录。
-
在导航窗格中,选择配置和策略选项卡。然后选择创建策略。
-
如果这是您第一次创建配置策略,则在配置组织页面上,可以在配置类型下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到自定义策略选项。
选择 “在整个组织中使用 Amazon 推荐的 Security Hub 配置” 以使用我们推荐的策略。推荐的策略在所有组织帐户中启用 Security Hub,启用 Amazon 基础安全最佳实践 (FSBP) 标准,并启用所有新的和现有的FSBP控件。控件使用默认参数值。
选择我还没准备好配置,以稍后创建配置策略。
选择自定义策略,以创建自定义配置策略。指定是启用还是禁用 Security Hub、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定自定义参数值。
-
在 “帐户” 部分,选择要将配置策略应用于哪些目标账户或根账户。OUs
如果要将配置策略应用于根,请选择所有账户。这包括组织OUs中所有未应用或继承其他政策的账户。
如果要将配置策略应用于特定账户,请选择特定账户,或者OUs。输入账户IDs,或者OUs从组织结构中选择账户。创建策略时,您最多可以将策略应用于 15 个目标(账户或根)。OUs要指定更大的数字,请在创建策略后对其进行编辑,然后将其应用于其他目标。
选择仅限委托管理员,将配置策略应用于当前的委托管理员账户。
-
选择下一步。
-
在查看和应用页面上,查看您的配置策略详细信息。然后选择创建并应用策略。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。子帐户和应用OUs的目标帐户将自动继承此配置策略,除非它们被特别排除、自行管理或使用不同的配置策略。
- Security Hub API
-
要创建和关联配置策略
-
调用 CreateConfigurationPolicyAPI来自本地区的 Security Hub 委托管理员账户。
-
对于
Name
,输入配置策略的唯一名称。(可选)对于Description
,为配置策略提供描述。 -
在
ServiceEnabled
字段中,指定要在此配置策略中启用还是禁用 Security Hub。 -
在
EnabledStandardIdentifiers
字段中,指定要在此配置策略中启用哪些 Security Hub 标准。 -
对于
SecurityControlsConfiguration
对象,请在此配置策略中指定要启用或禁用的控件。选择EnabledSecurityControlIdentifiers
意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择DisabledSecurityControlIdentifiers
意味着指定的控件被禁用。属于已启用标准的其他控件(包括新发布的控件)将被启用。 -
或者,在
SecurityControlCustomParameters
字段中,指定要为其自定义参数的已启用控件。为ValueType
字段提供CUSTOM
,为Value
字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 了解 Security Hub 中的控制参数。 -
要将您的配置策略应用于账户OUs,或者,请调用 StartConfigurationPolicyAssociationAPI来自本地区的 Security Hub 委托管理员账户。
-
ConfigurationPolicyIdentifier
在该字段中,提供政策的 Amazon 资源名称 (ARN) 或通用唯一标识符 (UUID)。ARN和UUID由返回CreateConfigurationPolicy
API。对于自管理配置,该ConfigurationPolicyIdentifier
字段等于。SELF_MANAGED_SECURITY_HUB
-
在
Target
字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个API请求中提供一个目标。子帐户和选定目标OUs的子帐户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。
创建配置策略的API请求示例:
{ "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
关联配置策略的API请求示例:
{ "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} }
-
- Amazon CLI
-
要创建和关联配置策略
-
运行create-configuration-policy
来自本地区的 Security Hub 委托管理员帐户的命令。 -
对于
name
,输入配置策略的唯一名称。(可选)对于description
,为配置策略提供描述。 -
在
ServiceEnabled
字段中,指定要在此配置策略中启用还是禁用 Security Hub。 -
在
EnabledStandardIdentifiers
字段中,指定要在此配置策略中启用哪些 Security Hub 标准。 -
在
SecurityControlsConfiguration
字段中,请在此配置策略中指定要启用或禁用的控件。选择EnabledSecurityControlIdentifiers
意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择DisabledSecurityControlIdentifiers
意味着指定的控件被禁用。适用于您已启用标准的其他控件(包括新发布的控件)已启用。 -
或者,在
SecurityControlCustomParameters
字段中,指定要为其自定义参数的已启用控件。为ValueType
字段提供CUSTOM
,为Value
字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 了解 Security Hub 中的控制参数。 -
要将您的配置策略应用于账户OUs,或者,请运行 start-configuration-policy-association
来自本地区的 Security Hub 委托管理员帐户的命令。 -
在该
configuration-policy-identifier
字段中,提供配置策略的 Amazon 资源名称 (ARN) 或 ID。此ARN和 ID 由create-configuration-policy
命令返回。 -
在
target
字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。
用于创建配置策略的命令示例:
aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
用于关联配置策略的命令示例:
aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
-
StartConfigurationPolicyAssociation
API返回一个名为的字段AssociationStatus
。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING
变为 SUCCESS
或 FAILURE
可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅查看配置策略的关联状态。