取消配置与其目标的关联 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

取消配置与其目标的关联

在委托 Amazon Security Hub 管理员账户中,您可以取消账户、OU 或根与配置策略或自行管理配置的关联。取消关联会保留策略以备将来使用,但会删除特定账户、OU 或根中的现有关联。您只能取消关联直接应用的配置,而不能取消继承的配置。要更改继承的配置,可以将配置策略或自行管理行为应用于受影响的账户或 OU。您还可以将新的配置策略(包括所需的修改)应用于最接近的父级。

取消关联不会删除配置策略。该策略保留在您的账户中,因此您可以将其与组织中的其他目标关联。有关删除配置策略的说明,请参阅删除配置策略。解除关联完成后,受影响的目标将继承最接近的父级的配置策略或自行管理行为。如果没有可继承的配置,目标会保留解除关联之前的设置,但变为自行管理。

选择首选方法,然后按照步骤解除账户、OU 或根与其当前配置的关联。

Console
要解除账户或 OU 与其当前配置的关联

  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 组织选项卡上,选择要解除与其当前配置关联的账户、OU 或根。选择编辑

  4. 定义配置页面上,对于管理,如果您希望委托管理员能够将策略直接应用于目标,请选择应用的策略。如果希望目标继承最接近父级的配置,请选择继承。在这两种情况下,委托管理员都将控制目标的设置。如果希望账户或 OU 控制自己的设置,请选择自行管理

  5. 查看更改后,选择下一步应用。如果范围内的任何账户或 OU 的现有配置与当前选择冲突,此操作将覆盖这些配置。

API
要解除账户或 OU 与其当前配置的关联

  1. 从主区域的 Security Hub 委托管理员账户调用 StartConfigurationPolicyDisassociation API。

  2. 对于 ConfigurationPolicyIdentifier,提供要解除关联的配置策略的 Amazon 资源名称(ARN)或 ID。对于该字段,提供 SELF_MANAGED_SECURITY_HUB 以解除自行管理行为的关联。

  3. 对于 Target,提供要与此配置策略解除关联的账户、OU 或根。

解除配置策略关联的 API 请求示例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
Amazon CLI
要解除账户或 OU 与其当前配置的关联

  1. 从主区域的 Security Hub 委托管理员账户运行 start-configuration-policy-disassociation 命令。

  2. 对于 configuration-policy-identifier,提供要解除关联的配置策略的 Amazon 资源名称(ARN)或 ID。对于该字段,提供 SELF_MANAGED_SECURITY_HUB 以解除自行管理行为的关联。

  3. 对于 target,提供要与此配置策略解除关联的账户、OU 或根。

解除配置策略关联的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'