禁用特定标准中的控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用特定标准中的控件

您可以在一个或多个特定 Amazon Security Hub 标准中禁用控件。如果控件适用于其他已启用标准,Security Hub 仍会对该控件运行安全检查并生成控件调查发现。

我们建议在控件所适用的所有已启用标准中统一控件的启用状态。有关针对所有适用标准禁用控件的说明,请参阅跨标准禁用控件

在标准详细信息页面上,您还可以在特定标准中禁用控件。您必须在每个 Amazon Web Services 账户 和 Amazon Web Services 区域 中分别禁用控件。当您在特定标准中禁用控件时,只会影响当前账户和区域。

选择您的首选方法,然后按照本页上的步骤在一个或多个特定标准中禁用控件。

Security Hub console
要禁用特定标准中的控件
  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 从导航窗格中选择安全标准。对于相关标准,选择查看结果

  3. 选择控件。

  4. 选择禁用控制(对于已禁用的控件,此选项不会出现)。

  5. 提供禁用控件的原因,然后选择禁用进行确认。

Security Hub API
要禁用特定标准中的控件
  1. 运行 ListSecurityControlDefinitions 并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行 DescribeStandards。此 API 返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。

    请求示例:

    { "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0" }
  2. 运行 ListStandardsControlAssociations,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。

    请求示例:

    { "SecurityControlId": "IAM.1" }
  3. 运行 BatchUpdateStandardsControlAssociations。提供您要在其中禁用控件的标准的 ARN。

  4. AssociationStatus 参数设置为等于 DISABLED。如果您对已禁用的控件执行以下步骤,API 将返回 HTTP 状态代码 200 响应。

    请求示例:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}] }
Amazon CLI
要禁用特定标准中的控件
  1. 运行 list-security-control-definitions 命令并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行 describe-standards。此命令返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
  2. 运行 list-standards-control-associations 命令,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  3. 运行 batch-update-standards-control-associations 命令。提供您要在其中禁用控件的标准的 ARN。

  4. AssociationStatus 参数设置为等于 DISABLED。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'