本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 禁用安全标准
<a name="disable-standards"></a>

在 Security Hub CSPM 中禁用 Amazon 安全标准时，会出现以下情况：
+ 除非与当前已启用的其他标准相关联，否则适用于该标准的所有控件均已禁用。
+ 不再对已禁用控件执行安全检查，并且不会为已禁用控件生成其他调查发现。
+ 已禁用控件的现有调查发现将在大约 3‐5 天后自动存档。
+ Amazon Config Security Hub CSPM 为禁用的控件创建的规则将被删除。

通常会在禁用标准后的几分钟内删除相应的 Amazon Config 规则。但是，这可能需要更长时间。如果删除规则的第一个请求失败，则 Security Hub CSPM 每 12 小时重试一次。但是，如果您禁用了 Security Hub CSPM 或没有启用任何其他标准，则 Security Hub CSPM 无法再次尝试，这意味着它无法删除规则。如果发生这种情况并且您需要删除规则，请联系 Amazon Web Services 支持。

**Topics**
+ [

## 在多个账户中禁用标准和 Amazon Web Services 区域
](#disable-standards-central-configuration)
+ [

## 在单个账户中禁用标准版和 Amazon Web Services 区域
](#securityhub-standard-disable-console)

## 在多个账户中禁用标准和 Amazon Web Services 区域
<a name="disable-standards-central-configuration"></a>

要在多个账户中禁用安全标准 Amazon Web Services 区域，请使用[集中配置](central-configuration-intro.md)。通过中心配置，受委派的 Security Hub CSPM 管理员可以创建 Security Hub CSPM 配置策略，以禁用一个或多个标准。然后，管理员可以将配置策略与个人账户、组织单位 (OUs) 或根账户相关联。配置策略会影响主区域（也称为*聚合区域*）以及所有关联区域。

配置策略提供自定义选项。例如，您可以选择在一个 OU 中禁用支付卡行业数据安全标准（PCI DSS）。对于另一个 OU，您可以选择禁用 PCI DSS 和美国国家标准与技术研究院（NIST）SP 800-53 Rev. 5 标准。有关如何创建启用或禁用您指定的各个标准的配置策略的信息，请参阅[创建和关联配置策略](create-associate-policy.md)。

**注意**  
Security Hub CSPM 管理员可以使用配置策略禁用除 [Amazon Control Tower 服务托管标准](service-managed-standard-aws-control-tower.md)之外的任何标准。要禁用此标准，管理员必须 Amazon Control Tower 直接使用。他们还必须使用 Amazon Control Tower 此标准为集中管理的账户禁用或启用个人控件。

如果您希望某些账户为自己的账户配置或禁用标准，Security Hub CSPM 管理员可以将这些账户指定为*自行管理账户*。自行管理账户必须在每个区域单独禁用标准。

## 在单个账户中禁用标准版和 Amazon Web Services 区域
<a name="securityhub-standard-disable-console"></a>

如果不使用中心配置或您有自行管理账户，则无法使用配置策略在多个账户或 Amazon Web Services 区域中集中禁用安全标准。但是，您可以在单个账户和区域中禁用标准。您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 执行此操作。

------
#### [ Security Hub CSPM console ]

按照以下步骤使用 Security Hub CSPM 控制台在一个账户和区域中禁用标准。

**在一个账户和区域中禁用标准**

1. 打开 S Amazon ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.amazonaws.cn/securityhub/)

1. 使用页面右上角的选择 Amazon Web Services 区域 器，选择要禁用标准的区域。

1. 在导航窗格中，选择**安全标准**。

1. 在要禁用的标准的部分中，选择**禁用标准**。

要在其他区域禁用标准，请在每个其他区域重复上述步骤。

------
#### [ Security Hub CSPM API ]

要在单个账户和区域中以编程方式禁用标准，请使用 [https://docs.amazonaws.cn//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.amazonaws.cn//securityhub/1.0/APIReference/API_BatchDisableStandards.html) 操作。或者，如果您使用的是 Amazon Command Line Interface (Amazon CLI)，请运行该[https://docs.amazonaws.cn/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.amazonaws.cn/cli/latest/reference/securityhub/batch-disable-standards.html)命令。

在您的请求中，使用 `StandardsSubscriptionArns` 参数指定要禁用的标准的 Amazon 资源名称（ARN）。如果您使用的是 Amazon CLI，请使用`standards-subscription-arns`参数指定 ARN。此外，请指定您的请求适用的区域。例如，以下命令禁用账户 () Amazon 的基础安全最佳实践 (FSBP) 标准：*123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

美国东部（弗吉尼亚北部）地区账户的 FSBP 标准的 ARN 在哪里*arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0*，*us-east-1*是要禁用该标准的区域。

要获取标准的 ARN，您可以使用 [https://docs.amazonaws.cn//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.amazonaws.cn//securityhub/1.0/APIReference/API_GetEnabledStandards.html) 操作。此操作会检索有关您账户中当前已启用的标准的信息。如果您使用的是 Amazon CLI，则可以运行[get-enabled-standards](https://docs.amazonaws.cn/cli/latest/reference/securityhub/get-enabled-standards.html)命令来检索此信息。

------

禁用某个标准后，Security Hub CSPM 将开始执行任务以在账户和指定的区域中禁用该标准。这包括禁用适用于该标准的所有控件。要监控这些任务的状态，您可以[检查账户和区域中该标准的状态](enable-standards.md#standard-subscription-status)。