服务管理标准: Amazon Control Tower - Amazon Security Hub
什么是服务管理标准: Amazon Control Tower?创建标准在标准中启用和禁用控件查看启用状态和控件状态删除标准服务管理标准的查找字段格式: Amazon Control Tower适用于服务管理标准的控制措施: Amazon Control Tower
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

服务管理标准: Amazon Control Tower

本节提供有关服务管理标准的信息: Amazon Control Tower.

什么是服务管理标准: Amazon Control Tower?

该标准专为 Sec Amazon urity Hub 和 Amazon Control Tower. 它允许您在 Amazon Control Tower 服务中配置 Security Hub 的主动控制 Amazon Control Tower 以及侦探控制。

主动控制有助于确保您 Amazon Web Services 账户 保持合规性,因为它们会标记可能导致违反策略或配置错误的操作。侦探控件可检测您内部的资源不合规(例如,配置错误)。 Amazon Web Services 账户通过为您的 Amazon 环境启用主动和侦测控制,您可以在不同的开发阶段增强您的安全状况。

提示

服务管理标准与 Sec Amazon urity Hub 管理的标准不同。例如,您必须在托管服务中创建和删除服务托管标准。有关更多信息,请参阅 服务托管标准

在 Security Hub 控制台和 API 中,您可以查看服务管理标准: Amazon Control Tower 以及其他 Security Hub 标准。

创建标准

仅当您在中创建标准时,该标准才可用 Amazon Control Tower。 Amazon Control Tower 使用以下方法之一首次启用适用的控件时创建标准:

Security Hub 控件在 Amazon Control Tower 控制台中被标识为 SH。 controlID(例如,SH. CodeBuild.1)。

在创建标准时,如果您尚未启用 Security Hub, Amazon Control Tower 还会为您启用 Security Hub。

如果您尚未设置 Amazon Control Tower,则无法在 Security Hub 控制台、Security Hub API 或中查看或访问此标准 Amazon CLI。即使您已经进行了设置 Amazon Control Tower,也无法在 Security Hub 中查看或访问此标准,除非先 Amazon Control Tower 使用上述方法之一创建该标准。

该标准仅在可用Amazon Web Services 区域 的地方可 Amazon Control Tower 用,包括 Amazon GovCloud (US)。

在标准中启用和禁用控件

在 Amazon Control Tower 控制台中创建标准后,可以在两个服务中查看该标准及其可用控件。

首次创建标准后,没有任何自动启用的控件。此外,当 Security Hub 添加新控件时,这些控件不会自动启用服务托管标准: Amazon Control Tower。您应使用以下方法之一启用和禁用标准中的 Amazon Control Tower 控件:

当您在中更改控件的启用状态时 Amazon Control Tower,更改也会反映在 Security Hub 中。

但是,在 Security Hub 中禁用已启用的控件会 Amazon Control Tower 导致控制偏差。中的控件状态 Amazon Control Tower 显示为Drifted。您可以通过在 Amazon Control Tower 控制台中选择 “重新注册 OU”,或者 Amazon Control Tower 使用上述方法之一禁用并重新启用中的控件来解决这种偏差。

在中完成启用和禁用操作 Amazon Control Tower 可帮助您避免控制偏差。

当您在中启用或禁用控件时 Amazon Control Tower,该操作将应用于所有账户和区域。如果您在 Security Hub 中启用和禁用控制(不建议用于此标准),则该操作仅适用于当前账户和区域。

注意

中央配置不能用于管理服务托管标准: Amazon Control Tower. 如果您使用中央配置,则只能使用该 Amazon Control Tower 服务为集中管理的账户启用和禁用本标准中的控件。

查看启用状态和控件状态

您可以使用以下方法之一查看控件的启用状态:

  • Security Hub 控制台、Security Hub API 或 Amazon CLI

  • Amazon Control Tower 控制台

  • Amazon Control Tower 用于查看已启用控件列表的 API(调用 ListEnabledControlsAPI)

  • Amazon CLI 查看已启用的控件列表(运行list-enabled-controls命令)

除非您在 Security Hub 中明确启用 Amazon Control Tower 该控件,否则您在Disabled中禁用的控件在 Security Hub 中的启用状态为。

Security Hub 根据控件调查发现的工作流程状态和合规性状态来计算控件状态。有关启用状态和控件状态的更多信息,请参阅 查看控件的详细信息

根据控制状态,Security Hub 计算服务管理标准的安全分数:。 Amazon Control Tower此分数仅在 Security Hub 中可用。此外,您只能在 Security Hub 中查看控件调查发现。中没有标准安全评分和控制结果 Amazon Control Tower。

注意

启用服务管理标准:的控件时 Amazon Control Tower,Security Hub 最多可能需要 18 小时才能为使用现有 Amazon Config 服务关联规则的控件生成调查结果。如果您在 Security Hub 中启用了其他标准和控件,则可能已有与服务相关的规则。有关更多信息,请参阅 有关运行安全检查的计划

删除标准

您可以使用以下方法之一禁 Amazon Control Tower 用所有适用的控件,从而在中删除此标准:

禁用所有控件会删除 Amazon Control Tower中所有托管账户和受管辖区域中的标准。 Amazon Control Tower 删除中的标准会将其从 Security Hub 控制台的 “标准” 页面中删除,并且您无法再使用 Security Hub API 或访问该标准 Amazon CLI。

注意

在 Security Hub 中禁用标准中的所有控件并不能禁用或删除该标准。

禁用 Security Hub 服务会移除服务管理标准: Amazon Control Tower 以及您已启用的任何其他标准。

服务管理标准的查找字段格式: Amazon Control Tower

创建服务管理标准: Amazon Control Tower 并对其启用控制后,您将开始在 Security Hub 中收到控制结果。Security Hub 在 Amazon 安全调查结果格式 (ASFF) 中报告控件调查发现。以下是本标准的 Amazon 资源名称(ARN)的 ASFF 值,以及 GeneratorId

  • 标准 ARN——arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

  • GeneratorIdservice-managed-aws-control-tower/v/1.0.0/CodeBuild.1

有关服务托管标准:的调查结果示例 Amazon Control Tower,请参阅控件调查发现样本

适用于服务管理标准的控制措施: Amazon Control Tower

服务管理标准: Amazon Control Tower 支持 Amazon 基础安全最佳实践 (FSBP) 标准中的一部分控件。从下表中选择一个控件以查看有关该控件的信息,包括失败的调查发现的补救步骤。

以下列表显示了服务托管标准的可用控件: Amazon Control Tower. 对控件的区域限制与 FSBP 标准中对相关控件的区域限制相符。此列表显示了与标准无关的安全控件 ID。在 Amazon Control Tower 控制台中,控件 ID 的格式为 SH。 controlID(例如 SH. CodeBuild.1)。在 Security Hub 中,如果在账户中关闭了整合的控件调查发现,则 ProductFields.ControlId 字段将使用基于标准的控件 ID。基于标准的对照 ID 的格式为 CT。 ControlId(例如,CT。 CodeBuild.1)。

有关此标准的更多信息,请参阅 Amazon Control Tower 用户指南中的 Security Hub 控件。