禁用安全标准 - Amazon Security Hub
在多个账户和 Amazon Web Services 区域中禁用标准在单个账户和 Amazon Web Services 区域中禁用标准
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

禁用安全标准

在 Amazon Security Hub CSPM 中禁用安全标准时,会发生以下情况:

  • 除非与当前已启用的其他标准相关联,否则适用于该标准的所有控件均已禁用。

  • 不再对已禁用控件执行安全检查,并且不会为已禁用控件生成其他调查发现。

  • 已禁用控件的现有调查发现将在大约 3‐5 天后自动存档。

  • Security Hub CSPM 为已禁用控件创建的 Amazon Config 规则将被删除。

通常会在禁用标准后的几分钟内删除相应的 Amazon Config 规则。但是,这可能需要更长时间。如果删除规则的第一个请求失败,则 Security Hub CSPM 每 12 小时重试一次。但是,如果您禁用了 Security Hub CSPM 或没有启用任何其他标准,则 Security Hub CSPM 无法再次尝试,这意味着它无法删除规则。如果出现这种情况并且您需要删除规则,请联系 Amazon Web Services 支持。

在多个账户和 Amazon Web Services 区域中禁用标准

要在多个账户和 Amazon Web Services 区域中禁用安全标准,请使用中心配置。通过中心配置,受委派的 Security Hub CSPM 管理员可以创建 Security Hub CSPM 配置策略,以禁用一个或多个标准。然后,管理员可以将配置策略与单个帐户、组织单元 (OU) 或根帐户关联起来。配置策略会影响主区域(也称为聚合区域)以及所有关联区域。

配置策略提供自定义选项。例如,您可以选择在一个 OU 中禁用支付卡行业数据安全标准 (PCI DSS)。对于另一个 OU,您可以选择禁用 PCI DSS 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 标准。有关如何创建启用或禁用您指定的各个标准的配置策略的信息,请参阅创建和关联配置策略

注意

Security Hub CSPM 管理员可以使用配置策略禁用除 Amazon Control Tower 服务托管标准之外的任何标准。要禁用此标准,管理员必须直接使用 Amazon Control Tower。此外,管理员还必须使用 Amazon Control Tower 来禁用或启用集中管理账户中此标准的各个控件。

如果您希望某些账户为自己的账户配置或禁用标准,Security Hub CSPM 管理员可以将这些账户指定为自行管理账户。自行管理账户必须在每个区域单独禁用标准。

在单个账户和 Amazon Web Services 区域中禁用标准

如果不使用中心配置或您有自行管理账户,则无法使用配置策略在多个账户或 Amazon Web Services 区域中集中禁用安全标准。但是,您可以在单个账户和区域中禁用标准。您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 执行此操作。

Security Hub CSPM console

按照以下步骤使用 Security Hub CSPM 控制台在一个账户和区域中禁用标准。

在一个账户和区域中禁用标准

  1. 打开 Amazon Security Hub CSPM 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 使用页面右上角的 Amazon Web Services 区域 选择器,选择要在其中禁用标准的区域。

  3. 在导航窗格中,选择安全标准

  4. 在要禁用的标准的部分中,选择禁用标准

要在其他区域禁用标准,请在每个其他区域重复上述步骤。

Security Hub CSPM API

要在单个账户和区域中以编程方式禁用标准,请使用 BatchDisableStandards 操作。或者,如果您使用的是 Amazon Command Line Interface (Amazon CLI),请运行 batch-disable-standards 命令。

在您的请求中,使用 StandardsSubscriptionArns 参数指定要禁用的标准的 Amazon 资源名称 (ARN)。如果使用 Amazon CLI,请使用 standards-subscription-arns 参数指定 ARN。此外,请指定您的请求适用的区域。例如,以下命令会禁用账户 (123456789012) 的 Amazon 基础安全最佳实践 (FSBP) 标准:

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

其中 arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 是美国东部(弗吉尼亚州北部)区域账户的 FSBP 标准的 ARN,而 us-east-1 是要禁用标准的区域。

要获取标准的 ARN,您可以使用 GetEnabledStandards 操作。此操作会检索有关您账户中当前已启用的标准的信息。如果使用 Amazon CLI,则可以运行 get-enabled-standards 命令来检索此信息。

禁用某个标准后,Security Hub CSPM 将开始执行任务以在账户和指定的区域中禁用该标准。这包括禁用适用于该标准的所有控件。要监控这些任务的状态,您可以检查账户和区域中该标准的状态