Création et association de politiques de configuration de Security Hub - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création et association de politiques de configuration de Security Hub

Le compte d'administrateur délégué peut créer des politiques de AWS Security Hub configuration et les associer à des comptes d'organisation, à des unités organisationnelles (UO) ou à la racine.

Si c'est la première fois que vous créez une politique de configuration, nous vous recommandons de la vérifier d'abordComment fonctionnent les politiques de configuration de Security Hub.

Choisissez votre méthode d'accès préférée et suivez les étapes pour créer et associer une politique de configuration. Lorsque vous utilisez la console Security Hub, vous pouvez appliquer une politique de configuration à plusieurs comptes ou unités d'organisation en même temps. Lorsque vous utilisez l'API Security Hub ouAWS CLI, vous ne pouvez appliquer une politique de configuration qu'à un seul compte ou unité d'organisation par demande.

Security Hub console
Pour créer et associer des politiques de configuration

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.

  2. Dans le volet de navigation, choisissez Configuration et l'onglet Politiques. Choisissez ensuite Create policy.

  3. Sur la page Configurer l'organisation, si c'est la première fois que vous créez une politique de configuration, trois options s'affichent sous Type de configuration. Si vous avez déjà créé au moins une politique de configuration, seule l'option Politique personnalisée s'affiche.

    • Choisissez Utiliser la configuration Security Hub AWS recommandée dans l'ensemble de mon organisation pour appliquer notre politique recommandée. La politique recommandée active Security Hub dans tous les comptes de l'organisation, applique la norme AWS Foundational Security Best Practices (FSBP) et active tous les contrôles FSBP nouveaux et existants. Les commandes utilisent les valeurs de paramètres par défaut.

    • Choisissez Je ne suis pas encore prêt à configurer pour créer une politique de configuration ultérieurement.

    • Choisissez Politique personnalisée pour créer une politique de configuration personnalisée. Spécifiez s'il faut activer ou désactiver Security Hub, quelles normes activer et quels contrôles activer selon ces normes. Spécifiez éventuellement des valeurs de paramètres personnalisés pour un ou plusieurs contrôles activés qui prennent en charge les paramètres personnalisés.

  4. Dans la section Comptes, choisissez les comptes cibles, les unités d'organisation ou la racine auxquels vous souhaitez que votre politique de configuration s'applique.

    • Choisissez Tous les comptes si vous souhaitez appliquer la politique de configuration à la racine. Cela inclut tous les comptes et unités d'organisation de l'organisation auxquels aucune autre politique n'est appliquée ou dont aucune autre politique n'est héritée.

    • Choisissez Comptes spécifiques si vous souhaitez appliquer la politique de configuration à des comptes ou à des unités d'organisation spécifiques. Entrez les identifiants de compte ou sélectionnez les comptes et les unités d'organisation dans la structure de l'organisation. Vous pouvez spécifier un maximum de 15 comptes ou unités d'organisation auxquels appliquer la politique. Pour spécifier un nombre plus élevé, modifiez votre politique après sa création et appliquez-la à d'autres comptes.

    • Choisissez L'administrateur délégué uniquement pour appliquer la politique de configuration au compte d'administrateur délégué actuel.

  5. Choisissez Suivant.

  6. Sur la page Vérifier et appliquer, passez en revue les détails de votre politique de configuration. Choisissez ensuite Créer une politique et appliquez. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à la politique de configuration par le biais d'une application ou d'un héritage d'un nœud parent. Les comptes enfants et les unités d'organisation des cibles appliquées hériteront automatiquement de cette politique de configuration, sauf s'ils sont spécifiquement exclus, autogérés ou utilisent une politique de configuration différente.

Security Hub API
Pour créer et associer des politiques de configuration

  1. Appelez l'CreateConfigurationPolicyAPI depuis le compte d'administrateur délégué de Security Hub dans la région d'origine.

  2. PourName, fournissez un nom unique pour la politique de configuration. FacultativementDescription, pour, fournissez une description de la politique de configuration.

  3. Pour le ServiceEnabled champ, indiquez si vous souhaitez que Security Hub soit activé ou désactivé dans cette politique de configuration.

  4. Dans le EnabledStandardIdentifiers champ, spécifiez les normes Security Hub que vous souhaitez activer dans cette politique de configuration.

  5. Pour l'SecurityControlsConfigurationobjet, spécifiez les contrôles que vous souhaitez activer ou désactiver dans cette politique de configuration. Choisir EnabledSecurityControlIdentifiers signifie que les commandes spécifiées sont activées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont désactivés. Choisir DisabledSecurityControlIdentifiers signifie que les commandes spécifiées sont désactivées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont activés.

  6. Spécifiez éventuellement les contrôles activés pour le SecurityControlCustomParameters champ dont vous souhaitez personnaliser les paramètres. Indiquez CUSTOM le ValueType champ et la valeur du paramètre personnalisé pour le Value champ. La valeur doit correspondre au type de données correct et se situer dans les plages valides spécifiées par Security Hub. Seules certaines commandes prennent en charge les valeurs de paramètres personnalisées. Pour plus d'informations, consultez Paramètres de contrôle personnalisés.

  7. Pour appliquer votre politique de configuration aux comptes ou aux unités d'organisation, appelez l'StartConfigurationPolicyAssociationAPI depuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

  8. Pour le ConfigurationPolicyIdentifier champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique. Cet ARN et cet ID sont renvoyés par l'CreateConfigurationPolicyAPI.

  9. Pour le Target champ, indiquez l'unité d'organisation, le compte ou l'ID racine auquel vous souhaitez que cette politique de configuration s'applique. Vous ne pouvez fournir qu'une seule cible par demande d'API. Les comptes enfants et les unités d'organisation de la cible sélectionnée hériteront automatiquement de cette politique de configuration à moins qu'ils ne soient autogérés ou qu'ils n'utilisent une stratégie de configuration différente.

Exemple de demande d'API pour créer une politique de configuration :

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Exemple de demande d'API pour associer une politique de configuration :

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Pour créer et associer des politiques de configuration

  1. Exécutez la create-configuration-policycommande depuis le compte d'administrateur délégué de Security Hub dans la région d'origine.

  2. Pourname, fournissez un nom unique pour la politique de configuration. Facultativementdescription, pour, fournissez une description de la politique de configuration.

  3. Pour le ServiceEnabled champ, indiquez si vous souhaitez que Security Hub soit activé ou désactivé dans cette politique de configuration.

  4. Dans le EnabledStandardIdentifiers champ, spécifiez les normes Security Hub que vous souhaitez activer dans cette politique de configuration.

  5. Pour le SecurityControlsConfiguration champ, spécifiez les contrôles que vous souhaitez activer ou désactiver dans cette politique de configuration. Choisir EnabledSecurityControlIdentifiers signifie que les commandes spécifiées sont activées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont désactivés. Choisir DisabledSecurityControlIdentifiers signifie que les commandes spécifiées sont désactivées. Les autres contrôles qui s'appliquent à vos normes activées (y compris les contrôles récemment publiés) sont activés.

  6. Spécifiez éventuellement les contrôles activés pour le SecurityControlCustomParameters champ dont vous souhaitez personnaliser les paramètres. Indiquez CUSTOM le ValueType champ et la valeur du paramètre personnalisé pour le Value champ. La valeur doit correspondre au type de données correct et se situer dans les plages valides spécifiées par Security Hub. Seules certaines commandes prennent en charge les valeurs de paramètres personnalisées. Pour plus d'informations, consultez Paramètres de contrôle personnalisés.

  7. Pour appliquer votre politique de configuration aux comptes ou aux unités d'organisation, exécutez la start-configuration-policy-associationcommande depuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

  8. Pour le configuration-policy-identifier champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration. Cet ARN et cet ID sont renvoyés par la create-configuration-policy commande.

  9. Pour le target champ, indiquez l'unité d'organisation, le compte ou l'ID racine auquel vous souhaitez que cette politique de configuration s'applique. Vous ne pouvez fournir qu'une seule cible à chaque fois que vous exécutez la commande. Les enfants de la cible sélectionnée hériteront automatiquement de cette politique de configuration à moins qu'ils ne soient autogérés ou qu'ils n'utilisent une stratégie de configuration différente.

Exemple de commande pour créer une politique de configuration :

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Exemple de commande pour associer une politique de configuration :

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

L'StartConfigurationPolicyAssociationAPI renvoie un champ appeléAssociationStatus. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage du statut à SUCCESS ou peut prendre jusqu'à 24 heuresFAILURE. PENDING Pour plus d'informations sur le statut de l'association, consultezÉtat d'association d'une configuration.