本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建和关联 Security Hub 配置策略
委托管理员账户可以创建 Amazon Security Hub 配置策略并将其与组织账户、组织单位(OU)或根相关联。
如果您是首次创建配置策略,我们建议您先查看 Security Hub 配置策略的工作原理。
选择您的首选访问方法,然后按照步骤创建和关联配置策略。使用 Security Hub 控制台时,您可以同时将配置策略应用于多个账户或 OU。使用 Security Hub API 或 Amazon CLI 时,您只能在每个请求中将配置策略应用于一个账户或 OU。
- Security Hub console
-
要创建和关联配置策略
通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/
。 使用主区域中 Security Hub 委托管理员账户的凭证登录。
-
在导航窗格中,选择配置和策略选项卡。然后选择创建策略。
-
如果这是您第一次创建配置策略,则在配置组织页面上,可以在配置类型下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到自定义策略选项。
选择在整个组织中使用 Amazon 推荐的 Security Hub 配置,以使用我们推荐的策略。推荐的策略在所有组织账户中启用 Security Hub、Amazon 基础安全最佳实践(FSBP)标准以及所有新的和现有的 FSBP 控件。控件使用默认参数值。
选择我还没准备好配置,以稍后创建配置策略。
选择自定义策略,以创建自定义配置策略。指定是启用还是禁用 Security Hub、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定自定义参数值。
-
在账户部分,选择要将配置策略应用于哪些目标账户、OU 或根。
如果要将配置策略应用于根,请选择所有账户。这包括组织中所有未应用或继承其他策略的账户和 OU。
如果要将配置策略应用于特定账户或 OU,请选择特定账户。输入账户 ID,或者从组织结构中选择账户和 OU。您最多可以指定 15 个要应用策略的账户或 OU。要指定更多,请在创建策略后对编辑策略,然后将其应用于其他账户。
选择仅限委托管理员,将配置策略应用于当前的委托管理员账户。
-
选择下一步。
-
在查看和应用页面上,查看您的配置策略详细信息。然后选择创建并应用策略。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。已应用目标的子账户和 OU 将自动继承此配置策略,除非它们被排除在外、自行管理或使用不同的配置策略。
- Security Hub API
-
要创建和关联配置策略
-
从主区域的 Security Hub 委托管理员账户调用 CreateConfigurationPolicy API。
-
对于
Name
,输入配置策略的唯一名称。(可选)对于Description
,为配置策略提供描述。 -
在
ServiceEnabled
字段中,指定要在此配置策略中启用还是禁用 Security Hub。 -
在
EnabledStandardIdentifiers
字段中,指定要在此配置策略中启用哪些 Security Hub 标准。 -
对于
SecurityControlsConfiguration
对象,请在此配置策略中指定要启用或禁用的控件。选择EnabledSecurityControlIdentifiers
意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择DisabledSecurityControlIdentifiers
意味着指定的控件被禁用。属于已启用标准的其他控件(包括新发布的控件)将被启用。 -
或者,在
SecurityControlCustomParameters
字段中,指定要为其自定义参数的已启用控件。为ValueType
字段提供CUSTOM
,为Value
字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅自定义控制参数。 -
要将您的配置策略应用于账户或 OU,请从主区域的 Security Hub 委托管理员账户中调用 StartConfigurationPolicyAssociation API。
-
请为
ConfigurationPolicyIdentifier
字段提供策略的 Amazon 资源名称(ARN)或 ID。此 ARN 和 ID 由CreateConfigurationPolicy
API 返回。 -
在
Target
字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个 API 请求中提供一个目标。所选目标的子账户和 OU 将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。
用于创建配置策略的 API 请求示例:
{ "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
用于关联配置策略的 API 请求示例:
{ "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} }
-
- Amazon CLI
-
要创建和关联配置策略
-
从主区域的 Security Hub 委托管理员账户运行 create-configuration-policy
命令。 -
对于
name
,输入配置策略的唯一名称。(可选)对于description
,为配置策略提供描述。 -
在
ServiceEnabled
字段中,指定要在此配置策略中启用还是禁用 Security Hub。 -
在
EnabledStandardIdentifiers
字段中,指定要在此配置策略中启用哪些 Security Hub 标准。 -
在
SecurityControlsConfiguration
字段中,请在此配置策略中指定要启用或禁用的控件。选择EnabledSecurityControlIdentifiers
意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择DisabledSecurityControlIdentifiers
意味着指定的控件被禁用。适用于您已启用标准的其他控件(包括新发布的控件)已启用。 -
或者,在
SecurityControlCustomParameters
字段中,指定要为其自定义参数的已启用控件。为ValueType
字段提供CUSTOM
,为Value
字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅自定义控制参数。 -
要将您的配置策略应用于账户或 OU,请从主区域的 Security Hub 委托管理员账户中运行 start-configuration-policy-association
命令。 -
请为
configuration-policy-identifier
字段提供配置策略的 Amazon 资源名称(ARN)或 ID。此 ARN 和 ID 由create-configuration-policy
命令返回。 -
在
target
字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。
用于创建配置策略的命令示例:
aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
用于关联配置策略的命令示例:
aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
-
StartConfigurationPolicyAssociation
API 返回一个名为 AssociationStatus
的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING
变为 SUCCESS
或 FAILURE
可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅配置的关联状态。