本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
禁用特定标准中的控件
您可以在一个或多个特定 Amazon Security Hub 标准中禁用控件。如果控件适用于其他已启用标准,Security Hub 仍会对该控件运行安全检查并生成控件调查发现。
我们建议在控件所适用的所有已启用标准中统一控件的启用状态。有关针对所有适用标准禁用控件的说明,请参阅跨标准禁用控件。
在标准详细信息页面上,您还可以在特定标准中禁用控件。您必须在每个 Amazon Web Services 账户 和 Amazon Web Services 区域 中分别禁用控件。当您在特定标准中禁用控件时,只会影响当前账户和区域。
选择您的首选方法,然后按照本页上的步骤在一个或多个特定标准中禁用控件。
- Security Hub console
-
要禁用特定标准中的控件
通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/
。 -
从导航窗格中选择安全标准。对于相关标准,选择查看结果。
-
选择控件。
-
选择禁用控制(对于已禁用的控件,此选项不会出现)。
-
提供禁用控件的原因,然后选择禁用进行确认。
- Security Hub API
-
要禁用特定标准中的控件
-
运行
并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行ListSecurityControlDefinitions
DescribeStandards
。此 API 返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。请求示例:
{ "StandardsArn": "arn:aws:securityhub:::
standards/aws-foundational-security-best-practices/v/1.0.0
" } -
运行
,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。ListStandardsControlAssociations
请求示例:
{ "SecurityControlId": "
IAM.1
" } -
运行
。提供您要在其中禁用控件的标准的 ARN。BatchUpdateStandardsControlAssociations
-
将
AssociationStatus
参数设置为等于DISABLED
。如果您对已禁用的控件执行以下步骤,API 将返回 HTTP 状态代码 200 响应。请求示例:
{ "StandardsControlAssociationUpdates": [{"SecurityControlId": "
IAM.1
", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment
"}] }
-
- Amazon CLI
-
要禁用特定标准中的控件
-
运行
命令并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行list-security-control-definitions
describe-standards
。此命令返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。aws securityhub --region
list-security-control-definitions --standards-arnus-east-1
"arn:aws:securityhub:
us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
" -
运行
命令,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。list-standards-control-associations
aws securityhub --region
list-standards-control-associations --security-control-idus-east-1
CloudTrail.1
-
运行
命令。提供您要在其中禁用控件的标准的 ARN。batch-update-standards-control-associations
-
将
AssociationStatus
参数设置为等于DISABLED
。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。aws securityhub --region
batch-update-standards-control-associations --standards-control-association-updatesus-east-1
'[{"SecurityControlId": "
CloudTrail.1
", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment
"}]'
-