本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Hub 中禁用安全标准
在中禁用安全标准时 Amazon Security Hub,会发生以下情况:
-
适用于该标准的所有控件都将被禁用,除非它们与当前已启用的另一个标准关联。
-
不再执行对禁用控件的安全检查,并且不会为禁用控件生成其他结果。
-
已禁用控件的现有调查发现将在大约 3-5 天后自动存档。
-
Amazon Config Security Hub 为禁用的控件创建的规则已删除。
通常会在禁用标准后的几分钟内删除相应的 Amazon Config 规则。但是,可能需要更长的时间。如果第一个请求未能删除规则,则 Security Hub 每 12 小时重试一次。但是,如果您禁用了 Security Hub 或者没有启用任何其他标准,那么 Security Hub 将无法重试,这意味着它无法删除规则。如果发生这种情况,并且您需要删除规则,请联系 Amazon Web Services 支持。
在多个账户中禁用标准 Amazon Web Services 区域
要在多个账户和禁用安全标准 Amazon Web Services 区域,请使用中心配置。使用中心配置时,委托的 Security Hub 管理员可以创建禁用一个或多个标准的 Security Hub 配置策略。然后,管理员可以将配置策略与个人账户、组织部门(OUs)或根相关联。配置策略会影响主区域(也称为聚合区域)和所有关联区域。
配置策略可自定义。例如,您可以选择在一个 OU 中禁用支付卡行业数据安全标准(PCI DSS)。对于另一个 OU,您可以选择同时禁用 PCI DSS 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 标准。有关创建启用或禁用您指定的各个标准的配置策略的信息,请参阅创建和关联配置策略。
注意
Security Hub 管理员可以使用配置策略禁用除Amazon Control Tower 服务托管标准之外的任何标准。要禁用此标准,管理员必须 Amazon Control Tower 直接使用。他们还必须使用 Amazon Control Tower 为集中管理的账户禁用或启用本标准中的个人控件。
如果您希望某些账户为自己的账户配置或禁用标准,Security Hub 管理员可以将这些账户指定为自行管理账户。自行管理账户必须在每个区域中单独禁用标准。
在单个账户中禁用标准 Amazon Web Services 区域
如果您不使用中心配置或您拥有自行管理账户,则无法使用配置策略在多个账户中集中禁用安全标准,或 Amazon Web Services 区域。但是,您可以在单个账户和区域中禁用标准。可以使用 Security Hub 控制台或 Security Hub API 执行此操作。
禁用标准后,Security Hub 开始执行任务,在账户和指定区域中禁用该标准。这包括禁用适用于该标准的所有控件。要监控这些任务的状态,您可以查看账户和地区的标准状态。