Deaktivierung der zentralen Konfiguration in Security Hub - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Deaktivierung der zentralen Konfiguration in Security Hub

Wenn Sie die zentrale Konfiguration in deaktivieren AWS Security Hub, verliert der delegierte Administrator die Möglichkeit, Security Hub, Sicherheitsstandards und Sicherheitskontrollen für mehrere AWS-Konten Organisationseinheiten (OUs) und AWS-Regionen zu konfigurieren. Stattdessen müssen Sie die meisten Einstellungen für jedes Konto in jeder Region separat konfigurieren.

Wichtig

Bevor Sie die zentrale Konfiguration deaktivieren können, müssen Sie zuerst Ihre Konten und ihre aktuelle Konfiguration OUs trennen, unabhängig davon, ob es sich dabei um eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten handelt.

Bevor Sie die zentrale Konfiguration deaktivieren können, müssen Sie auch vorhandene Konfigurationsrichtlinien löschen.

Wenn Sie die zentrale Konfiguration deaktivieren, treten die folgenden Änderungen auf:

  • Der delegierte Administrator kann keine Konfigurationsrichtlinien mehr für die Organisation erstellen.

  • Konten, auf die eine Konfigurationsrichtlinie angewendet oder vererbt wurde, behalten ihre aktuellen Einstellungen bei, werden jedoch automatisch verwaltet.

  • Ihr Unternehmen wechselt zur lokalen Konfiguration. Bei der lokalen Konfiguration müssen die meisten Security Hub Hub-Einstellungen für jedes Organisationskonto und jede Region separat konfiguriert werden. Der delegierte Administrator kann wählen, ob Security Hub, Standardsicherheitsstandards und alle Kontrollen, die Teil der Standardstandards sind, in neuen Organisationskonten automatisch aktiviert werden. Die Standardstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Diese Einstellungen sind nur in der aktuellen Region wirksam und wirken sich nur auf neue Unternehmenskonten aus. Der delegierte Administrator kann nicht ändern, welche Standards die Standardstandards sind. Die lokale Konfiguration unterstützt nicht die Verwendung von Konfigurationsrichtlinien oder Konfigurationen auf OU-Ebene.

Die Identität des delegierten Administratorkontos bleibt unverändert, wenn Sie die zentrale Konfiguration nicht mehr verwenden. Ihre Heimatregion und die verknüpften Regionen bleiben ebenfalls unverändert (Ihre Heimatregion wird jetzt als Aggregationsregion bezeichnet und kann für die Suche nach Aggregationen verwendet werden).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die zentrale Konfiguration nicht mehr zu verwenden und zur lokalen Konfiguration zu wechseln.

Security Hub console
Um die zentrale Konfiguration (Konsole) zu deaktivieren

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie im Abschnitt Übersicht die Option Bearbeiten aus.

  4. Wählen Sie im Feld Organisationskonfiguration bearbeiten die Option Lokale Konfiguration aus. Falls Sie dies noch nicht getan haben, werden Sie aufgefordert, Ihre aktuellen Konfigurationsrichtlinien zu trennen und zu löschen, bevor Sie die zentrale Konfiguration beenden können. Konten oder Konten OUs , die als selbstverwaltet gekennzeichnet sind, müssen von ihrer selbstverwalteten Konfiguration getrennt werden. Sie können dies in der Konsole tun, indem Sie den Verwaltungstyp jedes selbstverwalteten Kontos oder jeder Organisationseinheit auf Zentral verwaltet und von meiner Organisation übernehmen ändern.

  5. Wählen Sie optional die Standardeinstellungen für die lokale Konfiguration für neue Organisationskonten aus.

  6. Wählen Sie Bestätigen aus.

Security Hub API
Um die zentrale Konfiguration (API) zu deaktivieren

  1. Rufen Sie das auf UpdateOrganizationConfigurationAPI.

  2. Stellen Sie das ConfigurationType Feld im OrganizationConfiguration Objekt auf einLOCAL. Die API gibt einen Fehler zurück, wenn Sie über bestehende Konfigurationsrichtlinien oder Richtlinienzuordnungen verfügen. Rufen Sie die API auf, um die Zuordnung einer Konfigurationsrichtlinie aufzuheben. StartConfigurationPolicyDisassociation Rufen Sie die API auf, um eine Konfigurationsrichtlinie zu löschen. DeleteConfigurationPolicy

  3. Wenn Sie Security Hub automatisch in neuen Organisationskonten aktivieren möchten, setzen Sie das AutoEnable Feld auftrue. Standardmäßig ist der Wert dieses Feldsfalse, und Security Hub wird in neuen Organisationskonten nicht automatisch aktiviert. Wenn Sie die Standardsicherheitsstandards für neue Organisationskonten automatisch aktivieren möchten, setzen Sie das AutoEnableStandards Feld optional aufDEFAULT. Dies ist der Standardwert. Wenn Sie die Standardsicherheitsstandards in neuen Organisationskonten nicht automatisch aktivieren möchten, setzen Sie das AutoEnableStandards Feld aufNONE.

Beispiel für eine API-Anfrage:

{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
AWS CLI
Um die zentrale Konfiguration zu deaktivieren (AWS CLI)

  1. Ausführen des supdate-organization-configurationBefehl.

  2. Stellen Sie das ConfigurationType Feld im organization-configuration Objekt auf einLOCAL. Der Befehl gibt einen Fehler zurück, wenn Sie bereits über Konfigurationsrichtlinien oder Richtlinienzuordnungen verfügen. Führen Sie den start-configuration-policy-disassociation Befehl aus, um die Zuordnung einer Konfigurationsrichtlinie aufzuheben. Führen Sie den delete-configuration-policy Befehl aus, um eine Konfigurationsrichtlinie zu löschen.

  3. Wenn Sie Security Hub automatisch in neuen Organisationskonten aktivieren möchten, geben Sie den auto-enable Parameter an. Standardmäßig ist der Wert dieses Parametersno-auto-enable, und Security Hub wird in neuen Organisationskonten nicht automatisch aktiviert. Wenn Sie die Standardsicherheitsstandards für neue Organisationskonten automatisch aktivieren möchten, setzen Sie das auto-enable-standards Feld optional aufDEFAULT. Dies ist der Standardwert. Wenn Sie die Standardsicherheitsstandards in neuen Organisationskonten nicht automatisch aktivieren möchten, setzen Sie das auto-enable-standards Feld aufNONE.

aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'