Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨标准禁用控件
我们建议跨标准禁用 Amazon Security Hub 控件,以保持整个组织的一致性。如果在特定标准中禁用了控件,其他标准中仍启用该控件时,您可以继续接收该控件的调查发现。
多个账户和区域中的跨标准禁用
要跨多个 Amazon Web Services 账户 和 Amazon Web Services 区域 禁用安全控件,必须使用中心配置。
使用中心配置时,委托管理员可以创建 Security Hub 配置策略,以禁用已启用的标准中的指定控件。然后,您可以将配置策略与特定账户、OU 或根相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。
配置策略可自定义。例如,您可以选择禁用一个 OU 中的所有 Amazon CloudTrail 控件,也可以选择禁用另一个 OU 中的所有 IAM 控件。粒度级别取决于您的组织中安全覆盖范围的预期目标。有关创建用于禁用不同标准中指定控件的配置策略的说明,请参阅创建和关联配置策略。
如果您希望某些账户配置自己的控件而不是委托管理员来配置,则委托管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域中单独配置控件。
单个账户和区域中的跨标准禁用
如果您未使用中心配置,或是自行管理账户,则无法使用配置策略在多个账户和区域中集中禁用控件。但是,您可以使用以下步骤来禁用单个账户和区域中的控件。
- Security Hub console
-
- Security Hub API
-
要在一个账户和区域中禁用不同标准中的控件
-
调用 ListStandardsControlAssociations API。提供安全控件 ID。
请求示例:
{
"SecurityControlId": "IAM.1
"
}
-
调用 BatchUpdateStandardsControlAssociations API。提供启用该控件的任何标准的 ARN。要获取标准 ARN,请运行 DescribeStandards
。
-
将 AssociationStatus
参数设置为等于 DISABLED
。如果您对已禁用的控件执行以下步骤,API 将返回 HTTP 状态代码 200 响应。
请求示例:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1
", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment
"}, {"SecurityControlId": "IAM.1
", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0
", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment
"}}]
}
-
在您要在其中禁用控件的每个区域中重复这些操作。
- Amazon CLI
-
要在一个账户和区域中禁用不同标准中的控件
-
运行 list-standards-control-associations 命令。提供安全控件 ID。
aws securityhub --region us-east-1
list-standards-control-associations --security-control-id CloudTrail.1
-
运行 batch-update-standards-control-associations 命令。提供启用该控件的任何标准的 ARN。要获取标准 ARN,请运行 describe-standards
命令。
-
将 AssociationStatus
参数设置为等于 DISABLED
。如果您对已禁用的控件执行以下步骤,该命令将返回 HTTP 状态代码 200 响应。
aws securityhub --region us-east-1
batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1
", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment
"}, {"SecurityControlId": "CloudTrail.1
", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0
", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment
"}]'
-
在您要在其中禁用控件的每个区域中重复这些操作。