在 Security Hub CSPM 中禁用中心配置 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 Security Hub CSPM 中禁用中心配置

如果您在 Amazon Security Hub CSPM 中禁用中心配置,则委派管理员将无法跨多个 Amazon Web Services 账户、组织单元 (OU) 和 Amazon Web Services 区域配置 Security Hub CSPM、安全标准和安全控件。相反,您必须为每个区域中的每个账户单独配置大部分设置。

重要

在禁用中心配置之前,必须先取消账户和 OU 与其当前配置的关联,无论该配置是配置策略还是自行管理行为。

在禁用中心配置之前,还必须删除现有配置策略

禁用中心配置后,将发生以下变化:

  • 委托管理员无法再为组织创建配置策略。

  • 已应用或继承配置策略的账户将保留其当前设置,但会变为自行管理。

  • 组织切换到本地配置。在本地配置下,大多数 Security Hub CSPM 设置必须在每个组织账户和区域中单独配置。委派管理员可以选择自动启用 Security Hub CSPM、默认安全标准以及属于新组织账户默认标准的所有控件。默认标准是 Amazon 基础安全最佳实践(FSBP)和 Center for Internet Security(CIS)Amazon 基金会基准 v1.2.0。这些设置仅在当前区域生效,并且仅影响新的组织账户。委托管理员无法更改默认标准。本地配置不支持在 OU 级别使用配置策略或配置。

停止使用中心配置后,委托管理员账户的身份将保持不变。主区域和关联区域也保持不变(主区域现在称为聚合区域,可用于查找聚合)。

选择首选方法,然后按照步骤停止使用中心配置并切换到本地配置。

Security Hub CSPM console
禁用中心配置(控制台)

  1. 打开 Amazon Security Hub CSPM 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 概述部分,选择编辑

  4. 编辑组织配置框中,选择本地配置。如果未这样做,系统会提示您解除关联并删除当前的配置策略,然后才能停止中心配置。被指定为自行管理账户或 OU 必须与其自行管理配置解除关联。您可以在控制台中执行此操作,方法是将每个自行管理账户或 OU 的管理类型更改集中管理从我的组织继承

  5. (可选)为新组织账户选择本地配置默认设置。

  6. 选择确认

Security Hub CSPM API
禁用中心配置(API)

  1. 调用 UpdateOrganizationConfiguration API。

  2. OrganizationConfiguration 对象中的 ConfigurationType 字段设置为 LOCAL。如果您有现有的配置策略或策略关联,API 会返回错误。要解除配置策略的关联,请调用 StartConfigurationPolicyDisassociation API。要删除配置策略,请调用 DeleteConfigurationPolicy API。

  3. 如果要在新组织账户中自动启用 Security Hub CSPM,请将 AutoEnable 字段设置为 true。默认情况下,此字段的值为 false,并且 Security Hub CSPM 不会在新组织账户中自动启用。(可选)如果要在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards 字段设置为 DEFAULT。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards 字段设置为 NONE

API 请求示例:

{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
Amazon CLI
禁用中心配置(Amazon CLI)

  1. 运行 update-organization-configuration 命令。

  2. organization-configuration 对象中的 ConfigurationType 字段设置为 LOCAL。如果您有现有的配置策略或策略关联,命令会返回错误。要解除配置策略关联,请运行 start-configuration-policy-disassociation 命令。要删除配置策略,请运行 delete-configuration-policy 命令。

  3. 如果要在新组织账户中自动启用 Security Hub CSPM,请包含 auto-enable 参数。默认情况下,此参数的值为 no-auto-enable,并且 Security Hub CSPM 不会在新组织账户中自动启用。(可选)如果要在新组织账户中自动启用默认安全标准,请将 auto-enable-standards 字段设置为 DEFAULT。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 auto-enable-standards 字段设置为 NONE

aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'