Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Hub 中禁用中心配置
如果您在 Amazon Security Hub 中禁用中心配置,则委托管理员将无法跨多个 Amazon Web Services 账户、组织单位(OU)和 Amazon Web Services 区域 配置 Security Hub、安全标准和安全控件。相反,您必须为每个区域中的每个账户单独配置大部分设置。
禁用中心配置后,将发生以下变化:
委托管理员无法再为组织创建配置策略。
已应用或继承配置策略的账户将保留其当前设置,但会变为自行管理。
组织切换到本地配置。在本地配置下,大多数 Security Hub 设置必须在每个组织账户和区域中单独配置。委托管理员可以选择自动启用 Security Hub、默认安全标准以及属于新组织账户默认标准的所有控件。默认标准是 Amazon 基础安全最佳实践(FSBP)和 Center for Internet Security(CIS)Amazon 基金会基准 v1.2.0。这些设置仅在当前区域生效,并且仅影响新的组织账户。委托管理员无法更改默认标准。本地配置不支持在 OU 级别使用配置策略或配置。
停止使用中心配置后,委托管理员账户的身份将保持不变。主区域和关联区域也保持不变(主区域现在称为聚合区域,可用于查找聚合)。
选择首选方法,然后按照步骤停止使用中心配置并切换到本地配置。
- Security Hub console
-
禁用中心配置(控制台)
通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/。
使用主区域中委托 Security Hub 管理员账户的凭证登录。
-
在导航窗格中,选择设置和配置。
-
在概述部分,选择编辑。
-
在编辑组织配置框中,选择本地配置。如果未这样做,系统会提示您解除关联并删除当前的配置策略,然后才能停止中心配置。被指定为自行管理账户或 OU 必须与其自行管理配置解除关联。您可以在控制台中执行此操作,方法是将每个自行管理账户或 OU 的管理类型更改为集中管理和从我的组织继承。
-
(可选)为新组织账户选择本地配置默认设置。
-
选择确认。
- Security Hub API
-
禁用中心配置(API)
-
调用 UpdateOrganizationConfiguration API。
-
将 OrganizationConfiguration
对象中的 ConfigurationType
字段设置为 LOCAL
。如果您有现有的配置策略或策略关联,API 会返回错误。要解除配置策略的关联,请调用 StartConfigurationPolicyDisassociation
API。要删除配置策略,请调用 DeleteConfigurationPolicy
API。
-
如果要在新组织账户中自动启用 Security Hub,请将 AutoEnable
字段设置为 true
。默认情况下,此字段的值为 false
,并且 Security Hub 不会在新组织账户中自动启用。(可选)如果要在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards
字段设置为 DEFAULT
。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards
字段设置为 NONE
。
API 请求示例:
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
- Amazon CLI
-
禁用中心配置(Amazon CLI)
-
运行 update-organization-configuration 命令。
-
将 organization-configuration
对象中的 ConfigurationType
字段设置为 LOCAL
。如果您有现有的配置策略或策略关联,命令会返回错误。要解除配置策略关联,请运行 start-configuration-policy-disassociation
命令。要删除配置策略,请运行 delete-configuration-policy
命令。
-
如果要在新组织账户中自动启用 Security Hub,请包含 auto-enable
参数。默认情况下,此参数的值为 no-auto-enable
,并且 Security Hub 不会在新组织账户中自动启用。(可选)如果要在新组织账户中自动启用默认安全标准,请将 auto-enable-standards
字段设置为 DEFAULT
。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 auto-enable-standards
字段设置为 NONE
。
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable
\
--organization-configuration '{"ConfigurationType": "LOCAL
"}'