Aufheben der Zuordnung einer Konfiguration zu ihren Zielen - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufheben der Zuordnung einer Konfiguration zu ihren Zielen

Vom Delegierten AWS Security Hub Mit einem Administratorkonto können Sie die Zuordnung einer Konfigurationsrichtlinie oder einer selbstverwalteten Konfiguration zu einem Konto, einer Organisationseinheit oder einem Root-Konto aufheben. Durch die Trennung der Zuordnung wird die Richtlinie für die future Verwendung beibehalten, bestehende Verknüpfungen zu bestimmten Konten oder dem Stammkonto werden jedoch entfernt. Sie können nur eine direkt angewendete Konfiguration trennen, keine vererbte Konfiguration. OUs Um eine geerbte Konfiguration zu ändern, können Sie eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten auf das betroffene Konto oder die betroffene Organisationseinheit anwenden. Sie können auch eine neue Konfigurationsrichtlinie, die Ihre gewünschten Änderungen enthält, auf das nächstgelegene übergeordnete Objekt anwenden.

Durch die Trennung der Zuordnung wird eine Konfigurationsrichtlinie nicht gelöscht. Die Richtlinie wird in Ihrem Konto gespeichert, sodass Sie sie mit anderen Zielen in Ihrer Organisation verknüpfen können. Anweisungen zum Löschen einer Konfigurationsrichtlinie finden Sie unterLöschen von Konfigurationsrichtlinien. Wenn die Trennung abgeschlossen ist, erbt ein betroffenes Ziel die Konfigurationsrichtlinie oder das selbstverwaltete Verhalten des nächstgelegenen übergeordneten Ziels. Wenn es keine vererbbare Konfiguration gibt, behält ein Ziel die Einstellungen bei, die es vor der Trennung hatte, wird aber selbst verwaltet.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Konto, eine Organisationseinheit oder einen Root-Benutzer von der aktuellen Konfiguration zu trennen.

Console
Um ein Konto oder eine Organisationseinheit von der aktuellen Konfiguration zu trennen

  1. Öffnen Sie AWS Security Hub Konsole bei. https://console.aws.amazon.com/securityhub/

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie auf der Registerkarte Organizations das Konto, die Organisationseinheit oder das Stammverzeichnis aus, das Sie von der aktuellen Konfiguration trennen möchten. Wählen Sie Edit (Bearbeiten) aus.

  4. Wählen Sie auf der Seite Konfiguration definieren für Verwaltung die Option Anwendete Richtlinie aus, wenn Sie möchten, dass der delegierte Administrator Richtlinien direkt auf das Ziel anwenden kann. Wählen Sie Vererbt, wenn Sie möchten, dass das Ziel die Konfiguration seines nächsten übergeordneten Objekts erbt. In beiden Fällen kontrolliert der delegierte Administrator die Einstellungen für das Ziel. Wählen Sie Selbstverwaltet, wenn Sie möchten, dass das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuert.

  5. Nachdem Sie Ihre Änderungen überprüft haben, wählen Sie Weiter und Anwenden. Diese Aktion überschreibt bestehende Konfigurationen aller Konten oder KontenOUs, die sich im Gültigkeitsbereich befinden, falls diese Konfigurationen mit Ihrer aktuellen Auswahl in Konflikt stehen.

API
Um die Zuordnung eines Kontos oder einer Organisationseinheit zu ihrer aktuellen Konfiguration aufzuheben

  1. Rufen Sie das auf StartConfigurationPolicyDisassociationAPIüber das delegierte Security Hub-Administratorkonto in der Heimatregion.

  2. Geben Sie für ConfigurationPolicyIdentifier den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, deren Zuordnung Sie aufheben möchten. Geben Sie dieses Feld an, SELF_MANAGED_SECURITY_HUB um die Zuordnung zu selbstverwaltetem Verhalten aufzuheben.

  3. Geben Sie für Target die Konten oder das Stammkonto anOUs, das Sie von dieser Konfigurationsrichtlinie trennen möchten.

Beispiel für API eine Anfrage zum Trennen der Zuordnung zu einer Konfigurationsrichtlinie:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
AWS CLI
Um ein Konto oder eine Organisationseinheit von der aktuellen Konfiguration zu trennen

  1. Ausführen des sstart-configuration-policy-disassociationBefehl vom delegierten Security Hub-Administratorkonto in der Heimatregion.

  2. Geben Sie für configuration-policy-identifier den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, deren Zuordnung Sie aufheben möchten. Geben Sie dieses Feld an, SELF_MANAGED_SECURITY_HUB um die Zuordnung zu selbstverwaltetem Verhalten aufzuheben.

  3. Geben Sie für target die Konten oder das Stammkonto anOUs, das Sie von dieser Konfigurationsrichtlinie trennen möchten.

Beispielbefehl zum Trennen der Zuordnung einer Konfigurationsrichtlinie:

aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'