针对各种标准启用控件 - Amazon Security Hub
在多账户、多区域环境中的跨标准启用单个账户和区域中的跨标准启用
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

针对各种标准启用控件

我们建议启用该 Amazon Security Hub 控件所适用的所有标准的控制。如果开启整合的控件调查发现,那么即使一项控件属于多个标准,您也会收到每项控件检查的调查发现。

在多账户、多区域环境中的跨标准启用

要在多个 Amazon Web Services 账户 和之间启用安全控制 Amazon Web Services 区域,您必须登录委派的 Security Hub 管理员帐户并使用中央配置

使用中心配置时,委托管理员可以创建 Security Hub 配置策略,这些策略可以跨已启用标准启用指定控件。然后,您可以将配置策略与特定的账户和组织单位 (OUs) 或根相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。

配置策略可自定义。例如,您可以选择启用一个 OU 中的所有控件,也可以选择在另一个 OU 中仅启用 Amazon Elastic Compute Cloud (EC2) 控件。粒度级别取决于您的组织中安全覆盖范围的预期目标。有关创建配置策略(启用不同标准中的指定控件)的说明,请参阅创建和关联配置策略

注意

授权的管理员可以创建配置策略来管理除服务管理标准之外的所有标准中的控件: Amazon Control Tower。应在 Amazon Control Tower 服务中配置该标准的控件。

如果您希望某些账户配置自己的控件而不是委托管理员来配置,则委托管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域中单独配置控件。

单个账户和区域中的跨标准启用

如果您不使用中心配置或是自行管理账户,则无法使用配置策略在多个账户和区域中集中启用控件。但是,您可以使用以下步骤在单个账户和区域中启用控件。

Security Hub console
要在一个账户和区域中启用不同标准中的控件

  1. 打开 Amazon Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

  2. 从导航窗格中选择控件

  3. 选择已禁用选项卡。

  4. 选择控件旁边的选项。

  5. 选择启用控制(对于已启用的控件,此选项不会出现)。

  6. 在您要在其中启用控件的每个区域中重复这些操作。

Security Hub API
要在一个账户和区域中启用不同标准中的控件

  1. 调用 ListStandardsControlAssociationsAPI。提供安全控件 ID。

    请求示例:

    {
    "SecurityControlId": "IAM.1"
}

  2. 调用 BatchUpdateStandardsControlAssociationsAPI。提供所有未启用控件的标准的 Amazon 资源名称(ARN)。要获得标准 ARNs,请运行DescribeStandards

  3. AssociationStatus 参数设置为等于 ENABLED。如果您对已启用的控件执行以下步骤,则该 API 将返回 HTTP 状态码 200 响应。

    请求示例:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. 在您要在其中启用控件的每个区域中重复这些操作。

Amazon CLI
要在一个账户和区域中启用不同标准中的控件

  1. 运行list-standards-control-associations 命令。提供安全控件 ID。

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. 运行batch-update-standards-control-associations 命令。提供所有未启用控件的标准的 Amazon 资源名称(ARN)。要获得标准 ARNs,请运行describe-standards命令。

  3. AssociationStatus 参数设置为等于 ENABLED。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. 在您要在其中启用控件的每个区域中重复这些操作。