

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Security Hub CSPM 中禁用中心配置
<a name="stop-central-configuration"></a>

在 Sec Amazon urity Hub CSPM 中禁用中央配置后，委派的管理员将无法在多个组织单位 () OUs 和之间配置 Security Hub CSPM Amazon Web Services 账户、安全标准和安全控制。 Amazon Web Services 区域相反，您必须为每个区域中的每个账户单独配置大部分设置。

**重要**  
在禁用中央配置之前，必须先[解除账户及其 OUs当前配置的关联](disassociate-policy.md)，无论是配置策略还是自我管理行为。  
在禁用中心配置之前，还必须[删除现有配置策略](delete-policy.md)。

禁用中心配置后，将发生以下变化：
+ 委派管理员无法再为组织创建配置策略。
+ 已应用或继承配置策略的账户将保留其当前设置，但会变为自行管理。
+ 组织切换到*本地配置*。在本地配置下，大多数 Security Hub CSPM 设置必须在每个组织账户和区域中单独配置。委派管理员可以选择自动启用 Security Hub CSPM、[默认安全标准](securityhub-auto-enabled-standards.md)以及属于新组织账户默认标准的所有控件。默认标准是 Amazon 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) Amazon 基金会基准 v1.2.0。这些设置仅在当前区域生效，并且仅影响新的组织账户。委派管理员无法更改默认标准。本地配置不支持在 OU 级别使用配置策略或配置。

停止使用中心配置后，委派管理员账户的身份将保持不变。主区域和关联区域也保持不变（主区域现在称为聚合区域，可用于查找聚合）。

选择首选方法，然后按照步骤停止使用中心配置并切换到本地配置。

------
#### [ Security Hub CSPM console ]

**禁用中心配置（控制台）**

1. 打开 S Amazon ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.amazonaws.cn/securityhub/)

   使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。

1. 在导航窗格中，选择**设置**和**配置**。

1. 在**概述**部分，选择**编辑**。

1. 在**编辑组织配置**框中，选择**本地配置**。如果未这样做，系统会提示您解除关联并删除当前的配置策略，然后才能停止中心配置。必须取消账户或 OUs 指定为自我管理的账户与其自我管理配置的关联。您可以在控制台中执行此操作，方法是将每个自行管理账户或 OU 的[管理类型更改](central-configuration-management-type.md#choose-management-type)为**集中管理**和**从我的组织继承**。

1. （可选）为新组织账户选择本地配置默认设置。

1. 选择**确认**。

------
#### [ Security Hub CSPM API ]

**禁用中心配置（API）**

1. 调用 [https://docs.amazonaws.cn/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.amazonaws.cn/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。

1. 将 `OrganizationConfiguration` 对象中的 `ConfigurationType` 字段设置为 `LOCAL`。如果您有现有的配置策略或策略关联，API 会返回错误。要解除配置策略的关联，请调用 `StartConfigurationPolicyDisassociation` API。要删除配置策略，请调用 `DeleteConfigurationPolicy` API。

1. 如果要在新组织账户中自动启用 Security Hub CSPM，请将 `AutoEnable` 字段设置为 `true`。默认情况下，此字段的值为 `false`，并且 Security Hub CSPM 不会在新组织账户中自动启用。（可选）如果要在新组织账户中自动启用默认安全标准，请将 `AutoEnableStandards` 字段设置为 `DEFAULT`。这是默认值。如果不想在新组织账户中自动启用默认安全标准，请将 `AutoEnableStandards` 字段设置为 `NONE`。

**API 请求示例**：

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ Amazon CLI ]

**禁用中心配置（Amazon CLI）**

1. 运行 [https://docs.amazonaws.cn/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.amazonaws.cn/cli/latest/reference/securityhub/update-organization-configuration.html) 命令。

1. 将 `organization-configuration` 对象中的 `ConfigurationType` 字段设置为 `LOCAL`。如果您有现有的配置策略或策略关联，命令会返回错误。要解除配置策略关联，请运行 `start-configuration-policy-disassociation` 命令。要删除配置策略，请运行 `delete-configuration-policy` 命令。

1. 如果要在新组织账户中自动启用 Security Hub CSPM，请包含 `auto-enable` 参数。默认情况下，此参数的值为 `no-auto-enable`，并且 Security Hub CSPM 不会在新组织账户中自动启用。（可选）如果要在新组织账户中自动启用默认安全标准，请将 `auto-enable-standards` 字段设置为 `DEFAULT`。这是默认值。如果不想在新组织账户中自动启用默认安全标准，请将 `auto-enable-standards` 字段设置为 `NONE`。

```
aws securityhub --region us-east-1 update-organization-configuration \
--{{auto-enable}} \
--organization-configuration '{"ConfigurationType": "{{LOCAL}}"}'
```

------