更新配置策略 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新配置策略

创建配置策略后,委派的 Amazon Security Hub 管理员账户可以更新策略详细信息和策略关联。更新策略详细信息后,与配置策略关联的账户会自动开始使用更新后的策略。

有关中心配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中心配置

委托管理员可以更新以下策略设置:

  • 启用或禁用 Security Hub。

  • 启用一项或多项安全标准

  • 指明在已启用的标准中启用了哪些安全控件。为此,您可以提供应启用的特定控件列表,并且 Security Hub 会禁用所有其他控件,包括在新控件发布时直接禁用。此外,您可以提供应禁用的特定控件列表,并且 Security Hub 会启用所有其他控件,包括在新控件发布时直接启用。

  • (可选)在已启用的标准中为选定的已启用控件自定义参数

选择首选方法,然后按照步骤更新配置策略。

注意

如果您使用中心配置,Security Hub 会自动禁用涉及除主区域之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。

如果本地区域不支持涉及全球资源的已启用控件,Security Hub 会尝试在支持该控件的一个链接区域中启用该控件。使用中央配置时,您无法覆盖主区域或任何关联区域中不可用的控件。

有关涉及全球资源的控件列表,请参阅使用全局资源的控件

Console
要更新配置策略

  1. 打开 Amazon Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 选择策略选项卡。

  4. 选择要编辑的配置策略,然后选择编辑。如果需要,请编辑策略设置。如果要保持策略设置不变,请保留此部分。

  5. 选择下一步。如果需要,请编辑策略关联。如果要保持策略关联不变,请保留此部分。更新策略时,您可以将策略与最多 15 个目标(账户或 root)关联或取消关联。 OUs

  6. 选择下一步

  7. 检查更改,然后选择保存并应用。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。

API
要更新配置策略

  1. 要更新配置策略中的设置,请调用 UpdateConfigurationPolicy来自本地区的 Security Hub 委托管理员账户的 API。

  2. 提供要更新的配置策略的 Amazon 资源名称(ARN)或 ID。

  3. ConfigurationPolicy 下方的字段提供更新后的值。(可选)您还可以提供更新原因。

  4. 要为此配置策略添加新的关联,请调用 StartConfigurationPolicyAssociation来自本地区的 Security Hub 委托管理员账户的 API。要移除一个或多个当前关联,请调用 StartConfigurationPolicyDisassociation来自本地区的 Security Hub 委托管理员账户的 API。

  5. 对于 ConfigurationPolicyIdentifier 字段,提供要更新其关联的配置策略的 ARN 或 ID。

  6. 在该Target字段中,提供您想要关联或取消关联的账户 OUs、或根 ID。此操作将覆盖指定 OUs 或账户之前的策略关联。

注意

调用 UpdateConfigurationPolicy API 时,Security Hub 会对 EnabledStandardIdentifiersEnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiersSecurityControlCustomParameters 字段执行完整列表替换。每次调用此 API 时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。

更新配置策略的 API 请求示例:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
Amazon CLI
要更新配置策略

  1. 要更新配置策略中的设置,请运行 update-configuration-policy来自本地区的 Security Hub 委托管理员帐户的命令。

  2. 提供要更新的配置策略的 Amazon 资源名称(ARN)或 ID。

  3. configuration-policy 下方的字段提供更新后的值。(可选)您还可以提供更新原因。

  4. 要为此配置策略添加新的关联,请运行 start-configuration-policy-association来自本地区的 Security Hub 委托管理员帐户的命令。要移除一个或多个当前关联,请运行 start-configuration-policy-disassociation来自本地区的 Security Hub 委托管理员帐户的命令。

  5. 对于 configuration-policy-identifier 字段,提供要更新其关联的配置策略的 ARN 或 ID。

  6. 在该target字段中,提供您想要关联或取消关联的账户 OUs、或根 ID。此操作将覆盖指定 OUs 或账户之前的策略关联。

注意

运行 update-configuration-policy 命令时,Security Hub 会对 EnabledStandardIdentifiersEnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiersSecurityControlCustomParameters 字段执行完整列表替换。每次运行此命令时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。

更新配置策略的命令示例:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

StartConfigurationPolicyAssociation API 返回一个名为 AssociationStatus 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILURE 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅查看配置策略的关联状态