删除和解除 Security Hub 配置策略关联 - Amazon Security Hub
删除配置策略解除配置与账户和 OU 的关联
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除和解除 Security Hub 配置策略关联

委托管理员账户可以删除 Amazon Security Hub 配置策略。或者,委托管理员账户可以保留配置策略,但解除其与特定账户或组织单位(OU)的关联。

下一节介绍了这两个选项。

删除配置策略

删除配置策略后,该策略将不再存在于组织中。目标账户、OU 和组织根无法再使用配置策略。与已删除的配置策略关联的目标将继承最接近父级的配置策略,或者如果最接近父级是自行管理的,则会变为自行管理。如果希望目标使用其他配置,可以将该目标与新的配置策略相关联。有关更多信息,请参阅创建和关联 Security Hub 配置策略

我们建议至少创建一个配置策略,并将其与组织关联,以提供足够的安全覆盖。

在删除配置策略之前,必须解除该策略与当前应用该策略的账户、OU 或根的关联。

选择首选方法,然后按照步骤删除配置策略。

Console
要删除配置策略

  1. 通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 选择 Policies 选项卡。选择要删除的配置策略,然后选择删除。如果配置策略仍与任何账户或 OU 关联,系统会提示您先解除策略与这些目标的关联,然后才能将其删除。

  4. 查看确认消息。输入 confirm,然后选择删除

API

要删除配置策略

从主区域的 Security Hub 委托管理员账户调用 DeleteConfigurationPolicy API。

提供要删除的配置策略的 Amazon 资源名称(ARN)或 ID。如果收到 ConflictException 错误,配置策略仍适用于组织中的账户或 OU。要解决此错误,请在尝试删除配置策略之前解除其与这些账户或 OU 的关联。

删除配置策略的 API 请求示例:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
Amazon CLI

要删除配置策略

从主区域的 Security Hub 委托管理员账户运行 delete-configuration-policy 命令。

提供要删除的配置策略的 Amazon 资源名称(ARN)或 ID。如果收到 ConflictException 错误,配置策略仍适用于组织中的账户或 OU。要解决此错误,请在尝试删除配置策略之前解除其与这些账户或 OU 的关联。

aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

解除配置与账户和 OU 的关联

在委托管理员账户中,您可以解除目标账户、OU 或根账户与当前适用于其的配置策略或自行管理配置的关联。您只能解除目标与已应用配置的关联,而不能解除与已继承配置的关联。要更改继承的配置,可以将配置策略或自行管理行为应用于受影响的账户或 OU。您还可以将新的配置策略(包括所需的修改)应用于最接近的父级。

解除关联不会删除配置策略。该策略保留在您的账户中,因此您可以将其与组织中的其他目标关联。解除关联完成后,受影响的目标将继承最接近的父级的配置策略或自行管理行为。如果没有可继承的配置,目标会保留解除关联之前的设置,但变为自行管理。

选择首选方法,然后按照步骤解除账户、OU 或根与其当前配置的关联。

Console
要解除账户或 OU 与其当前配置的关联

  1. 通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 组织选项卡上,选择要解除与其当前配置关联的账户、OU 或根。选择编辑

  4. 定义配置页面上,对于管理,如果您希望委托管理员能够将策略直接应用于目标,请选择应用的策略。如果希望目标继承最接近父级的配置,请选择继承。在这两种情况下,委托管理员都将控制目标的设置。如果希望账户或 OU 控制自己的设置,请选择自行管理

  5. 查看更改后,选择下一步应用。如果范围内的任何账户或 OU 的现有配置与当前选择冲突,此操作将覆盖这些配置。

API
要解除账户或 OU 与其当前配置的关联

  1. 从主区域的 Security Hub 委托管理员账户调用 StartConfigurationPolicyDisassociation API。

  2. 对于 ConfigurationPolicyIdentifier,提供要解除关联的配置策略的 Amazon 资源名称(ARN)或 ID。对于该字段,提供 SELF_MANAGED_SECURITY_HUB 以解除自行管理行为的关联。

  3. 对于 Target,提供要与此配置策略解除关联的账户、OU 或根。

解除配置策略关联的 API 请求示例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
Amazon CLI
要解除账户或 OU 与其当前配置的关联

  1. 从主区域的 Security Hub 委托管理员账户运行 start-configuration-policy-disassociation 命令。

  2. 对于 configuration-policy-identifier,提供要解除关联的配置策略的 Amazon 资源名称(ARN)或 ID。对于该字段,提供 SELF_MANAGED_SECURITY_HUB 以解除自行管理行为的关联。

  3. 对于 target,提供要与此配置策略解除关联的账户、OU 或根。

解除配置策略关联的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'