在 Security Hub CSPM 中禁用中央配置 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub CSPM 中禁用中央配置

在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中禁用集中配置时,委派的管理员将无法在多个组织单位 (OUs) 和之间配置 Security Hub CSPM Amazon Web Services 账户、安全标准和安全控制。 Amazon Web Services 区域相反,您必须为每个区域中的每个账户单独配置大部分设置。

重要

在禁用中央配置之前,必须先解除账户及其 OUs当前配置的关联,无论是配置策略还是自我管理行为。

在禁用中心配置之前,还必须删除现有配置策略

禁用中心配置后,将发生以下变化:

  • 委托管理员无法再为组织创建配置策略。

  • 已应用或继承配置策略的账户将保留其当前设置,但会变为自行管理。

  • 组织切换到本地配置。在本地配置下,大部分 Security Hub CSPM 设置必须在每个组织账户和区域中单独配置。授权的管理员可以选择在新组织账户中自动启用 Security Hub CSPM、默认安全标准以及所有属于默认标准的控件。默认标准是 Amazon 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) Amazon 基金会基准 v1.2.0。这些设置仅在当前区域生效,并且仅影响新的组织账户。委托管理员无法更改默认标准。本地配置不支持在 OU 级别使用配置策略或配置。

停止使用中心配置后,委托管理员账户的身份将保持不变。主区域和关联区域也保持不变(主区域现在称为聚合区域,可用于查找聚合)。

选择首选方法,然后按照步骤停止使用中心配置并切换到本地配置。

Security Hub CSPM console
禁用中心配置(控制台)
  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

    使用主区域中委托的 Security Hub CSPM 管理员账户的凭据登录。

  2. 在导航窗格中,选择设置配置

  3. 概述部分,选择编辑

  4. 编辑组织配置框中,选择本地配置。如果未这样做,系统会提示您解除关联并删除当前的配置策略,然后才能停止中心配置。必须取消账户或 OUs 指定为自我管理的账户与其自我管理配置的关联。您可以在控制台中执行此操作,方法是将每个自行管理账户或 OU 的管理类型更改集中管理从我的组织继承

  5. (可选)为新组织账户选择本地配置默认设置。

  6. 选择确认

Security Hub CSPM API
禁用中心配置(API)
  1. 调用 UpdateOrganizationConfiguration API。

  2. OrganizationConfiguration 对象中的 ConfigurationType 字段设置为 LOCAL。如果您有现有的配置策略或策略关联,API 会返回错误。要解除配置策略的关联,请调用 StartConfigurationPolicyDisassociation API。要删除配置策略,请调用 DeleteConfigurationPolicy API。

  3. 如果要在新组织帐户中自动启用 Security Hub CSPM,请将该AutoEnable字段设置为。true默认情况下,此字段的值为false,并且不会在新组织帐户中自动启用 Security Hub CSPM。(可选)如果要在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards 字段设置为 DEFAULT。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards 字段设置为 NONE

API 请求示例

{ "AutoEnable": true, "OrganizationConfiguration": { "ConfigurationType" : "LOCAL" } }
Amazon CLI
禁用中心配置(Amazon CLI)
  1. 运行 update-organization-configuration 命令。

  2. organization-configuration 对象中的 ConfigurationType 字段设置为 LOCAL。如果您有现有的配置策略或策略关联,命令会返回错误。要解除配置策略关联,请运行 start-configuration-policy-disassociation 命令。要删除配置策略,请运行 delete-configuration-policy 命令。

  3. 如果要在新组织帐户中自动启用 Security Hub CSPM,请包括参数。auto-enable默认情况下,此参数的值为no-auto-enable,并且不会在新组织帐户中自动启用 Security Hub CSPM。(可选)如果要在新组织账户中自动启用默认安全标准,请将 auto-enable-standards 字段设置为 DEFAULT。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 auto-enable-standards 字段设置为 NONE

aws securityhub --region us-east-1 update-organization-configuration \ --auto-enable \ --organization-configuration '{"ConfigurationType": "LOCAL"}'