停止使用中心配置 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

停止使用中心配置

当您停止在 Amazon Security Hub 中使用中心配置时,委托管理员将无法跨多个 Amazon Web Services 账户、组织单位(OU)和 Amazon Web Services 区域 配置 Security Hub、安全标准和安全控件。相反,组织账户必须在每个区域中单独配置自己的大部分设置。

重要

在停止使用中心配置之前,必须先解除账户和 OU 与其当前配置的关联,无论是配置策略还是自行管理行为。

在停止使用中心配置之前,还必须删除配置策略

停止中心配置后,将发生以下变化:

  • 委托管理员无法再为组织创建配置策略。

  • 已应用或继承配置策略的账户将保留其当前设置,但变为自行管理。

  • 组织切换到本地配置。在本地配置下,大多数 Security Hub 设置必须在每个组织账户和区域中单独配置。委托管理员可以选择自动启用 Security Hub、默认安全标准以及属于新组织账户默认标准的所有控件。默认标准是 Amazon 基础安全最佳实践(FSBP)和 Center for Internet Security(CIS)Amazon 基金会基准 v1.2.0。这些设置仅在当前区域生效,并且仅影响新的组织账户。委托管理员无法更改默认标准。本地配置不支持在 OU 级别使用配置策略或配置。

停止使用中心配置时,委托管理员账户的身份将保持不变。主区域和关联区域也保持不变(主区域现在称为聚合区域,可用于查找聚合)。

选择首选方法,然后按照步骤停止使用中心配置并切换到本地配置。

Security Hub console
要停止使用中心配置

  1. 通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 概述部分,选择编辑

  4. 编辑组织配置框中,选择本地配置。如果未这样做,系统会提示您解除关联并删除当前的配置策略,然后才能停止中心配置。被指定为自行管理账户或 OU 必须与其自行管理配置解除关联。您可以在控制台中执行此操作,方法是将每个自行管理账户或 OU 的管理类型更改集中管理从我的组织继承

  5. (可选)为新组织账户选择本地配置默认设置。

  6. 选择确认

Security Hub API
要停止使用中心配置

  1. 调用 UpdateOrganizationConfiguration API。

  2. OrganizationConfiguration 对象中的 ConfigurationType 字段设置为 LOCAL。如果您有现有的配置策略或策略关联,API 会返回错误。要解除配置策略的关联,请调用 StartConfigurationPolicyDisassociation API。要删除配置策略,请调用 DeleteConfigurationPolicy API。

  3. 如果要在新组织账户中自动启用 Security Hub,请将 AutoEnable 字段设置为 true。默认情况下,此字段的值为 false,并且 Security Hub 不会在新组织账户中自动启用。(可选)如果要在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards 字段设置为 DEFAULT。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 AutoEnableStandards 字段设置为 NONE

API 请求示例

{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
Amazon CLI
要停止使用中心配置

  1. 运行 update-organization-configuration命令。

  2. organization-configuration 对象中的 ConfigurationType 字段设置为 LOCAL。如果您有现有的配置策略或策略关联,命令会返回错误。要解除配置策略关联,请运行 start-configuration-policy-disassociation 命令。要删除配置策略,请运行 delete-configuration-policy 命令。

  3. 如果要在新组织账户中自动启用 Security Hub,请包含 auto-enable 参数。默认情况下,此参数的值为 no-auto-enable,并且 Security Hub 不会在新组织账户中自动启用。(可选)如果要在新组织账户中自动启用默认安全标准,请将 auto-enable-standards 字段设置为 DEFAULT。这是默认值。如果不想在新组织账户中自动启用默认安全标准,请将 auto-enable-standards 字段设置为 NONE

aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'