Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Hub CSPM 中禁用中央配置
在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中禁用集中配置时,委派的管理员将无法在多个组织单位 (OUs) 和之间配置 Security Hub CSPM Amazon Web Services 账户、安全标准和安全控制。 Amazon Web Services 区域相反,您必须为每个区域中的每个账户单独配置大部分设置。
禁用中心配置后,将发生以下变化:
委托管理员无法再为组织创建配置策略。
已应用或继承配置策略的账户将保留其当前设置,但会变为自行管理。
组织切换到本地配置。在本地配置下,大部分 Security Hub CSPM 设置必须在每个组织账户和区域中单独配置。授权的管理员可以选择在新组织账户中自动启用 Security Hub CSPM、默认安全标准以及所有属于默认标准的控件。默认标准是 Amazon 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) Amazon 基金会基准 v1.2.0。这些设置仅在当前区域生效,并且仅影响新的组织账户。委托管理员无法更改默认标准。本地配置不支持在 OU 级别使用配置策略或配置。
停止使用中心配置后,委托管理员账户的身份将保持不变。主区域和关联区域也保持不变(主区域现在称为聚合区域,可用于查找聚合)。
选择首选方法,然后按照步骤停止使用中心配置并切换到本地配置。
- Security Hub CSPM console
-
禁用中心配置(控制台)
打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/
使用主区域中委托的 Security Hub CSPM 管理员账户的凭据登录。
-
在导航窗格中,选择设置和配置。
-
在概述部分,选择编辑。
-
在编辑组织配置框中,选择本地配置。如果未这样做,系统会提示您解除关联并删除当前的配置策略,然后才能停止中心配置。必须取消账户或 OUs 指定为自我管理的账户与其自我管理配置的关联。您可以在控制台中执行此操作,方法是将每个自行管理账户或 OU 的管理类型更改为集中管理和从我的组织继承。
-
(可选)为新组织账户选择本地配置默认设置。
-
选择确认。
- Security Hub CSPM API
-
禁用中心配置(API)
-
调用 UpdateOrganizationConfiguration API。
-
将 OrganizationConfiguration
对象中的 ConfigurationType
字段设置为 LOCAL
。如果您有现有的配置策略或策略关联,API 会返回错误。要解除配置策略的关联,请调用 StartConfigurationPolicyDisassociation
API。要删除配置策略,请调用 DeleteConfigurationPolicy
API。
-
如果要在新组织帐户中自动启用 Security Hub CSPM,请将该AutoEnable
字段设置为。true
默认情况下,此字段的值为false
,并且不会在新组织帐户中自动启用 Security Hub CSPM。(可选)如果要在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards
字段设置为 DEFAULT
。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards
字段设置为 NONE
。
API 请求示例:
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
- Amazon CLI
-
禁用中心配置(Amazon CLI)
-
运行 update-organization-configuration 命令。
-
将 organization-configuration
对象中的 ConfigurationType
字段设置为 LOCAL
。如果您有现有的配置策略或策略关联,命令会返回错误。要解除配置策略关联,请运行 start-configuration-policy-disassociation
命令。要删除配置策略,请运行 delete-configuration-policy
命令。
-
如果要在新组织帐户中自动启用 Security Hub CSPM,请包括参数。auto-enable
默认情况下,此参数的值为no-auto-enable
,并且不会在新组织帐户中自动启用 Security Hub CSPM。(可选)如果要在新组织账户中自动启用默认安全标准,请将 auto-enable-standards
字段设置为 DEFAULT
。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 auto-enable-standards
字段设置为 NONE
。
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable
\
--organization-configuration '{"ConfigurationType": "LOCAL
"}'