本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
禁用安全标准
在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中禁用安全标准时,会发生以下情况:
-
所有适用于该标准的控件都将被禁用,除非它们与当前启用的其他标准相关联。
-
不再对已禁用的控件执行安全检查,也不会为已禁用的控件生成其他调查结果。
-
禁用对照组的现有发现将在大约 3-5 天后自动存档。
-
Amazon Config Security Hub CSPM 为禁用的控件创建的规则将被删除。
通常会在禁用标准后的几分钟内删除相应的 Amazon Config 规则。但是,可能需要更长的时间。如果第一个请求未能删除规则,Security Hub CSPM 将每 12 小时重试一次。但是,如果你禁用了 Security Hub CSPM 或者没有启用任何其他标准,Security Hub CSPM 将无法重试,这意味着它无法删除规则。如果发生这种情况并且您需要删除规则,请联系 Amazon Web Services 支持。
在多个账户中禁用标准和 Amazon Web Services 区域
要在多个账户中禁用安全标准 Amazon Web Services 区域,请使用集中配置。通过集中配置,授权的 Security Hub CSPM 管理员可以创建禁用一个或多个标准的 Security Hub CSPM 配置策略。然后,管理员可以将配置策略与个人账户、组织单位 (OUs) 或根账户相关联。配置策略会影响主区域(也称为聚合区域)和所有关联区域。
配置策略提供自定义选项。例如,您可以选择在一个 OU 中禁用支付卡行业数据安全标准 (PCI DSS)。对于另一个 OU,您可以选择同时禁用 PCI DSS 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 标准。有关创建启用或禁用您指定的各个标准的配置策略的信息,请参阅创建和关联配置策略。
注意
Security Hub CSPM 管理员可以使用配置策略来禁用除Amazon Control Tower 服务管理标准之外的任何标准。要禁用此标准,管理员必须 Amazon Control Tower 直接使用。他们还必须使用 Amazon Control Tower 此标准为集中管理的账户禁用或启用个人控件。
如果您希望某些帐户为自己的帐户配置或禁用标准,Security Hub CSPM 管理员可以将这些帐户指定为自我管理的帐户。自行管理的账户必须在每个地区单独禁用标准。
在单个账户中禁用标准版和 Amazon Web Services 区域
如果您不使用中央配置或拥有自我管理的帐户,则无法使用配置策略在多个账户中集中禁用安全标准,或者 Amazon Web Services 区域。但是,您可以在单个账户和区域中禁用标准。你可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 来做到这一点。
禁用标准后,Security Hub CSPM 开始执行任务,在账户和指定区域中禁用该标准。这包括禁用所有适用于标准的控件。要监控这些任务的状态,您可以查看账户和地区的标准状态。