Deaktivierung der zentralen Konfiguration in Security Hub CSPM - AWSSecurity Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Deaktivierung der zentralen Konfiguration in Security Hub CSPM

Wenn Sie die zentrale Konfiguration in AWS Security Hub CSPM deaktivieren, verliert der delegierte Administrator die Möglichkeit, Security Hub CSPM, Sicherheitsstandards und Sicherheitskontrollen für mehrere AWS-Konten Organisationseinheiten () und zu konfigurieren. OUs AWS-Regionen Stattdessen müssen Sie die meisten Einstellungen für jedes Konto in jeder Region separat konfigurieren.

Wichtig

Bevor Sie die zentrale Konfiguration deaktivieren können, müssen Sie zuerst Ihre Konten und ihre aktuelle Konfiguration OUs trennen, unabhängig davon, ob es sich dabei um eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten handelt.

Bevor Sie die zentrale Konfiguration deaktivieren können, müssen Sie auch vorhandene Konfigurationsrichtlinien löschen.

Wenn Sie die zentrale Konfiguration deaktivieren, treten die folgenden Änderungen auf:

  • Der delegierte Administrator kann keine Konfigurationsrichtlinien mehr für die Organisation erstellen.

  • Konten, auf die eine Konfigurationsrichtlinie angewendet oder vererbt wurde, behalten ihre aktuellen Einstellungen bei, werden jedoch automatisch verwaltet.

  • Ihr Unternehmen wechselt zur lokalen Konfiguration. Bei der lokalen Konfiguration müssen die meisten Security Hub CSPM-Einstellungen für jedes Organisationskonto und jede Region separat konfiguriert werden. Der delegierte Administrator kann festlegen, dass Security Hub CSPM, Standardsicherheitsstandards und alle Kontrollen, die Teil der Standardstandards sind, in neuen Organisationskonten automatisch aktiviert werden. Die Standardstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Diese Einstellungen sind nur in der aktuellen Region wirksam und wirken sich nur auf neue Unternehmenskonten aus. Der delegierte Administrator kann nicht ändern, welche Standards die Standardstandards sind. Die lokale Konfiguration unterstützt nicht die Verwendung von Konfigurationsrichtlinien oder Konfigurationen auf OU-Ebene.

Die Identität des delegierten Administratorkontos bleibt unverändert, wenn Sie die zentrale Konfiguration nicht mehr verwenden. Ihre Heimatregion und die verknüpften Regionen bleiben ebenfalls unverändert (Ihre Heimatregion wird jetzt als Aggregationsregion bezeichnet und kann für die Suche nach Aggregationen verwendet werden).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die zentrale Konfiguration nicht mehr zu verwenden und zur lokalen Konfiguration zu wechseln.

Security Hub CSPM console
Um die zentrale Konfiguration (Konsole) zu deaktivieren

  1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. https://console.aws.amazon.com/securityhub/

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie im Abschnitt Übersicht die Option Bearbeiten aus.

  4. Wählen Sie im Feld Organisationskonfiguration bearbeiten die Option Lokale Konfiguration aus. Falls Sie dies noch nicht getan haben, werden Sie aufgefordert, Ihre aktuellen Konfigurationsrichtlinien zu trennen und zu löschen, bevor Sie die zentrale Konfiguration beenden können. Konten oder Konten OUs , die als selbstverwaltet gekennzeichnet sind, müssen von ihrer selbstverwalteten Konfiguration getrennt werden. Sie können dies in der Konsole tun, indem Sie den Verwaltungstyp jedes selbstverwalteten Kontos oder jeder Organisationseinheit auf Zentral verwaltet und von meiner Organisation übernehmen ändern.

  5. Wählen Sie optional die Standardeinstellungen für die lokale Konfiguration für neue Organisationskonten aus.

  6. Wählen Sie Bestätigen aus.

Security Hub CSPM API
Um die zentrale Konfiguration (API) zu deaktivieren

  1. Rufen Sie die UpdateOrganizationConfigurationAPI auf.

  2. Setzen Sie das ConfigurationType Feld im OrganizationConfiguration Objekt aufLOCAL. Die API gibt einen Fehler zurück, wenn Sie über bestehende Konfigurationsrichtlinien oder Richtlinienzuordnungen verfügen. Rufen Sie die API auf, um die Zuordnung einer Konfigurationsrichtlinie aufzuheben. StartConfigurationPolicyDisassociation Rufen Sie die API auf, um eine Konfigurationsrichtlinie zu löschen. DeleteConfigurationPolicy

  3. Wenn Sie Security Hub CSPM automatisch in neuen Organisationskonten aktivieren möchten, setzen Sie das AutoEnable Feld auf. true Standardmäßig ist der Wert dieses Feldsfalse, und Security Hub CSPM wird nicht automatisch in neuen Organisationskonten aktiviert. Wenn Sie die Standardsicherheitsstandards für neue Organisationskonten automatisch aktivieren möchten, setzen Sie das AutoEnableStandards Feld optional auf. DEFAULT Dies ist der Standardwert. Wenn Sie die Standardsicherheitsstandards in neuen Organisationskonten nicht automatisch aktivieren möchten, setzen Sie das AutoEnableStandards Feld aufNONE.

Beispiel für eine API-Anfrage:

{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
AWS CLI
Um die zentrale Konfiguration zu deaktivieren (AWS CLI)

  1. Führen Sie den Befehl update-organization-configuration aus.

  2. Stellen Sie das ConfigurationType Feld im organization-configuration Objekt auf einLOCAL. Der Befehl gibt einen Fehler zurück, wenn Sie bereits über Konfigurationsrichtlinien oder Richtlinienzuordnungen verfügen. Führen Sie den start-configuration-policy-disassociation Befehl aus, um die Zuordnung einer Konfigurationsrichtlinie aufzuheben. Führen Sie den delete-configuration-policy Befehl aus, um eine Konfigurationsrichtlinie zu löschen.

  3. Wenn Sie Security Hub CSPM automatisch in neuen Organisationskonten aktivieren möchten, geben Sie den auto-enable Parameter an. Standardmäßig ist der Wert dieses Parametersno-auto-enable, und Security Hub CSPM wird nicht automatisch in neuen Organisationskonten aktiviert. Wenn Sie die Standardsicherheitsstandards für neue Organisationskonten automatisch aktivieren möchten, setzen Sie das auto-enable-standards Feld optional auf. DEFAULT Dies ist der Standardwert. Wenn Sie die Standardsicherheitsstandards in neuen Organisationskonten nicht automatisch aktivieren möchten, setzen Sie das auto-enable-standards Feld aufNONE.

aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'