关闭自动启用的标准 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关闭自动启用的标准

如果您不使用中心配置,则组织会使用称为本地配置的配置类型。在本地配置下,Security Hub 会在新成员账户加入组织时自动启用默认安全标准。作为默认标准一部分的所有控件也会自动启用。

当前,自动启用的默认安全标准是Amazon 基础安全最佳实践 v1.0.0 和互联网安全中心 (CIS) Amazon Foundations Benchm ark v1.2.0。如果您希望在新账户中手动启用标准,您可以关闭自动启用的标准。

如果您使用中心配置,则可以创建启用默认标准的配置策略并将此策略与根相关联。您的所有组织账户和账户都OUs将继承此配置策略,除非它们与其他策略关联或自行管理。

仅当您与本地配置集成 Amazon Organizations 并使用本地配置时,以下步骤才适用。如果您不使用 Organizations 集成,则可以在首次启用 Security Hub 时关闭默认标准,也可以按照 在单个账户和区域中禁用标准 的步骤操作。

Security Hub console
关闭自动启用的标准(控制台)
  1. 打开 Amazon Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用管理员账户的凭证登录。

  2. 在 Security Hub 导航窗格中的设置下,选择配置

  3. 账户部分中,关闭自动启用默认标准

Security Hub API

关闭自动启用的标准 (API)

使用 UpdateOrganizationConfiguration通过 Security Hub API 管理员帐户操作 Security Hub。如果你使用 Amazon CLI,请运行 update-organization-configuration 命令。

要在新成员账户中关闭自动启用的标准,将 AutoEnableStandards 的值设置为 NONE

例如,以下 Amazon CLI 命令关闭自动启用的标准。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub update-organization-configuration --auto-enable-standards NONE