Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新配置策略
创建配置策略后,委派的 Amazon Security Hub 管理员账户可以更新策略详细信息和策略关联。更新策略详细信息后,与配置策略关联的账户会自动开始使用更新后的策略。
有关中心配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中心配置。
委托管理员可以更新以下策略设置:
选择首选方法,然后按照步骤更新配置策略。
如果您使用中心配置,Security Hub 会自动禁用涉及除主区域之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。
如果本地区域不支持涉及全球资源的已启用控件,Security Hub 会尝试在支持该控件的一个链接区域中启用该控件。使用中央配置时,您无法覆盖主区域或任何关联区域中不可用的控件。
有关涉及全球资源的控件列表,请参阅使用全局资源的控件。
使用全局资源的控件.
.
- Console
-
要更新配置策略
-
打开 Amazon Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/。
使用主区域中委托 Security Hub 管理员账户的凭证登录。
-
在导航窗格中,选择设置和配置。
-
选择策略选项卡。
-
选择要编辑的配置策略,然后选择编辑。如果需要,请编辑策略设置。如果要保持策略设置不变,请保留此部分。
-
选择下一步。如果需要,请编辑策略关联。如果要保持策略关联不变,请保留此部分。更新策略时,您可以将策略与最多 15 个目标(账户或 root)关联或取消关联。OUs
-
选择下一步。
-
检查更改,然后选择保存并应用。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。
- API
-
当您调用时 UpdateConfigurationPolicy
API,Security Hub 会替换EnabledStandardIdentifiers
、EnabledSecurityControlIdentifiers
DisabledSecurityControlIdentifiers
、和SecurityControlCustomParameters
字段的完整列表。每次调用它时API,都要提供要启用的标准的完整列表以及要为其启用或禁用和自定义参数的控件的完整列表。
更新配置策略的API请求示例:
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
- Amazon CLI
-
运行 update-configuration-policy
命令时,Security Hub 会对 EnabledStandardIdentifiers
、EnabledSecurityControlIdentifiers
、DisabledSecurityControlIdentifiers
和 SecurityControlCustomParameters
字段执行完整列表替换。每次运行此命令时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。
更新配置策略的命令示例:
aws securityhub update-configuration-policy \
--region us-east-1
\
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
" \
--description "Updated configuration policy
" \
--updated-reason "Disabling CloudWatch.1
" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true
, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2
","CloudWatch.1
"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1
", "Parameters": {"daysToExpiration
": {"ValueType": "CUSTOM
", "Value": {"Integer
": 15
}}}}]}}}'
StartConfigurationPolicyAssociation
API返回一个名为的字段AssociationStatus
。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING
变为 SUCCESS
或 FAILURE
可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅查看配置策略的关联状态。