禁用特定标准中的控件
您可以仅在特定安全标准中禁用某个控件,而不是在所有标准中禁用。如果控件适用于其他已启用标准,Amazon Security Hub CSPM 会继续对该控件运行安全检查,您将继续收到控件的调查发现。
我们建议在控件所适用的所有已启用标准中统一控件的启用状态。有关如何禁用适用于所有标准的控件的信息,请参阅跨标准禁用控件。
在标准详细信息页面上,您还可以在特定标准中禁用控件。您必须在每个 Amazon Web Services 账户 和 Amazon Web Services 区域 中分别禁用控件。当您在特定标准中禁用某个控件时,它只会影响当前账户和区域。
选择您喜欢的方法,然后按照这些步骤在一个或多个特定标准中禁用控件。
- Security Hub CSPM console
-
要禁用特定标准中的控件
打开 Amazon Security Hub CSPM 控制台,网址为 https://console.aws.amazon.com/securityhub/
。 -
从导航窗格中选择安全标准。对于相关标准,选择查看结果。
-
选择控件。
-
选择禁用控件。对于已禁用的控件,此选项不会出现。
-
提供禁用控件的原因,然后选择禁用进行确认。
- Security Hub CSPM API
-
要禁用特定标准中的控件
-
运行
ListSecurityControlDefinitionsDescribeStandards。此 API 返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。请求示例:
{ "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0" } -
运行
ListStandardsControlAssociations请求示例:
{ "SecurityControlId": "IAM.1" } -
运行
BatchUpdateStandardsControlAssociations -
将
AssociationStatus参数设置为等于DISABLED。如果您对已禁用的控件执行以下步骤,API 将返回 HTTP 状态代码 200 响应。请求示例:
{ "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}] }
-
- Amazon CLI
-
要禁用特定标准中的控件
-
运行
list-security-control-definitionsdescribe-standards。此命令返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。aws securityhub --regionus-east-1"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0" -
运行
list-standards-control-associationsaws securityhub --regionus-east-1CloudTrail.1 -
运行
batch-update-standards-control-associations -
将
AssociationStatus参数设置为等于DISABLED。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。aws securityhub --regionus-east-1'[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
-