Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
删除和解除 Security Hub 配置策略关联
委托管理员账户可以删除 Amazon Security Hub 配置策略。或者,委托管理员账户可以保留配置策略,但解除其与特定账户或组织单位(OU)的关联。
下一节介绍了这两个选项。
删除配置策略
删除配置策略后,该策略将不再存在于组织中。目标账户、OU 和组织根无法再使用配置策略。与已删除的配置策略关联的目标将继承最接近父级的配置策略,或者如果最接近父级是自行管理的,则会变为自行管理。如果希望目标使用其他配置,可以将该目标与新的配置策略相关联。有关更多信息,请参阅创建和关联 Security Hub 配置策略。
我们建议至少创建一个配置策略,并将其与组织关联,以提供足够的安全覆盖。
在删除配置策略之前,必须解除该策略与当前应用该策略的账户、OU 或根的关联。
选择首选方法,然后按照步骤删除配置策略。
- Console
-
要删除配置策略
-
通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/。
使用主区域中 Security Hub 委托管理员账户的凭证登录。
-
在导航窗格中,选择设置和配置。
-
选择 Policies 选项卡。选择要删除的配置策略,然后选择删除。如果配置策略仍与任何账户或 OU 关联,系统会提示您先解除策略与这些目标的关联,然后才能将其删除。
-
查看确认消息。输入 confirm
,然后选择删除。
- API
-
要删除配置策略
从主区域的 Security Hub 委托管理员账户调用 DeleteConfigurationPolicy API。
提供要删除的配置策略的 Amazon 资源名称(ARN)或 ID。如果收到 ConflictException
错误,配置策略仍适用于组织中的账户或 OU。要解决此错误,请在尝试删除配置策略之前解除其与这些账户或 OU 的关联。
删除配置策略的 API 请求示例:
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
- Amazon CLI
-
要删除配置策略
从主区域的 Security Hub 委托管理员账户运行 delete-configuration-policy 命令。
提供要删除的配置策略的 Amazon 资源名称(ARN)或 ID。如果收到 ConflictException
错误,配置策略仍适用于组织中的账户或 OU。要解决此错误,请在尝试删除配置策略之前解除其与这些账户或 OU 的关联。
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
解除配置与账户和 OU 的关联
在委托管理员账户中,您可以解除目标账户、OU 或根账户与当前适用于其的配置策略或自行管理配置的关联。您只能解除目标与已应用配置的关联,而不能解除与已继承配置的关联。要更改继承的配置,可以将配置策略或自行管理行为应用于受影响的账户或 OU。您还可以将新的配置策略(包括所需的修改)应用于最接近的父级。
解除关联不会删除配置策略。该策略保留在您的账户中,因此您可以将其与组织中的其他目标关联。解除关联完成后,受影响的目标将继承最接近的父级的配置策略或自行管理行为。如果没有可继承的配置,目标会保留解除关联之前的设置,但变为自行管理。
选择首选方法,然后按照步骤解除账户、OU 或根与其当前配置的关联。
- Console
-
要解除账户或 OU 与其当前配置的关联
-
通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/。
使用主区域中 Security Hub 委托管理员账户的凭证登录。
-
在导航窗格中,选择设置和配置。
-
在组织选项卡上,选择要解除与其当前配置关联的账户、OU 或根。选择编辑。
-
在定义配置页面上,对于管理,如果您希望委托管理员能够将策略直接应用于目标,请选择应用的策略。如果希望目标继承最接近父级的配置,请选择继承。在这两种情况下,委托管理员都将控制目标的设置。如果希望账户或 OU 控制自己的设置,请选择自行管理。
-
查看更改后,选择下一步和应用。如果范围内的任何账户或 OU 的现有配置与当前选择冲突,此操作将覆盖这些配置。
- API
-
要解除账户或 OU 与其当前配置的关联
-
从主区域的 Security Hub 委托管理员账户调用 StartConfigurationPolicyDisassociation API。
-
对于 ConfigurationPolicyIdentifier
,提供要解除关联的配置策略的 Amazon 资源名称(ARN)或 ID。对于该字段,提供 SELF_MANAGED_SECURITY_HUB
以解除自行管理行为的关联。
-
对于 Target
,提供要与此配置策略解除关联的账户、OU 或根。
解除配置策略关联的 API 请求示例:
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"RootId": "r-f6g7h8i9j0example"}
}
- Amazon CLI
-
要解除账户或 OU 与其当前配置的关联
-
从主区域的 Security Hub 委托管理员账户运行 start-configuration-policy-disassociation 命令。
-
对于 configuration-policy-identifier
,提供要解除关联的配置策略的 Amazon 资源名称(ARN)或 ID。对于该字段,提供 SELF_MANAGED_SECURITY_HUB
以解除自行管理行为的关联。
-
对于 target
,提供要与此配置策略解除关联的账户、OU 或根。
解除配置策略关联的命令示例:
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'