Mise à jour des politiques de configuration du Security Hub

Le compte d'administrateur délégué peut mettre à jour les politiques AWS Security Hub de configuration selon les besoins. L'administrateur délégué peut mettre à jour les paramètres de stratégie, les comptes ou les unités d'organisation auxquels une politique est associée, ou les deux. Lorsque les paramètres de stratégie sont mis à jour, les comptes associés à la stratégie de configuration commencent automatiquement à utiliser la politique mise à jour.

Comme lorsque vous avez créé la politique de configuration, vous pouvez mettre à jour les paramètres de stratégie suivants :

• Activez ou désactivez Security Hub.

• Activez une ou plusieurs normes de sécurité.

• Indiquez quels contrôles de sécurité sont activés dans le cadre des normes activées. Vous pouvez le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub désactive tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés. Vous pouvez également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub active tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés.

• Vous pouvez éventuellement personnaliser les paramètres pour sélectionner les contrôles activés selon les normes activées.

Choisissez votre méthode préférée et suivez les étapes pour mettre à jour une politique de configuration.

Si vous utilisez la configuration centralisée, Security Hub désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine. Lorsque vous utilisez la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ni dans aucune des régions associées. Pour obtenir la liste des contrôles impliquant des ressources globales, voirContrôles relatifs aux ressources mondiales.

Console

Pour mettre à jour les politiques de configuration

1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.

2. Dans le volet de navigation, sélectionnez Paramètres et configuration.

3. Choisissez l'onglet Policies.

4. Sélectionnez la politique de configuration que vous souhaitez modifier, puis choisissez Modifier. Si vous le souhaitez, modifiez les paramètres de politique. Laissez cette section telle quelle si vous souhaitez conserver les paramètres de stratégie inchangés.

5. Choisissez Next. Si vous le souhaitez, modifiez les associations de politiques. Laissez cette section telle quelle si vous souhaitez conserver les associations de politiques inchangées. Vous pouvez associer ou dissocier la politique à un maximum de 15 cibles (comptes, unités d'organisation ou root) lorsque vous la mettez à jour.

6. Choisissez Suivant.

7. Passez en revue vos modifications, puis choisissez Enregistrer et appliquer. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à une politique de configuration par le biais d'une application ou d'un héritage provenant d'un nœud parent.

API

Pour mettre à jour les politiques de configuration

1. Pour mettre à jour les paramètres d'une politique de configuration, appelez l'UpdateConfigurationPolicyAPI depuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

2. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.

3. Fournissez des valeurs mises à jour pour les champs ci-dessousConfigurationPolicy. Vous pouvez éventuellement indiquer le motif de la mise à jour.

4. Pour ajouter de nouvelles associations pour cette politique de configuration, appelez l'StartConfigurationPolicyAssociationAPI depuis le compte d'administrateur délégué du Security Hub dans la région d'origine. Pour supprimer une ou plusieurs associations actuelles, appelez l'StartConfigurationPolicyDisassociationAPI depuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

5. Pour le ConfigurationPolicyIdentifier champ, indiquez l'ARN ou l'ID de la politique de configuration dont vous souhaitez mettre à jour les associations.

6. Pour le Target champ, indiquez les comptes, les unités d'organisation ou l'ID racine que vous souhaitez associer ou dissocier. Cette action remplace les associations de politiques précédentes pour les unités d'organisation ou les comptes spécifiés.

Note

Lorsque vous appelez l'UpdateConfigurationPolicyAPI, Security Hub remplace la liste complète des SecurityControlCustomParameters champs EnabledStandardIdentifiers EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers,, et. Chaque fois que vous invoquez cette API, fournissez la liste complète des normes que vous souhaitez activer, ainsi que la liste complète des contrôles que vous souhaitez activer ou désactiver et pour lesquels vous souhaitez personnaliser les paramètres.

Exemple de demande d'API pour mettre à jour une politique de configuration :

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
                

AWS CLI

Pour mettre à jour les politiques de configuration

1. Pour mettre à jour les paramètres d'une politique de configuration, exécutez la update-configuration-policycommande depuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

2. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.

3. Fournissez des valeurs mises à jour pour les champs ci-dessousconfiguration-policy. Vous pouvez éventuellement indiquer le motif de la mise à jour.

4. Pour ajouter de nouvelles associations pour cette politique de configuration, exécutez la start-configuration-policy-associationcommande depuis le compte d'administrateur délégué du Security Hub dans la région d'origine. Pour supprimer une ou plusieurs associations actuelles, exécutez la start-configuration-policy-disassociationcommande depuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

5. Pour le configuration-policy-identifier champ, indiquez l'ARN ou l'ID de la politique de configuration dont vous souhaitez mettre à jour les associations.

6. Pour le target champ, indiquez les comptes, les unités d'organisation ou l'ID racine que vous souhaitez associer ou dissocier. Cette action remplace les associations de politiques précédentes pour les unités d'organisation ou les comptes spécifiés.

Note

Lorsque vous exécutez la update-configuration-policy commande, Security Hub remplace la liste complète des SecurityControlCustomParameters champs EnabledStandardIdentifiers EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers,, et. Chaque fois que vous exécutez cette commande, fournissez la liste complète des normes que vous souhaitez activer et la liste complète des contrôles que vous souhaitez activer ou désactiver et pour lesquels vous souhaitez personnaliser les paramètres.

Exemple de commande pour mettre à jour une politique de configuration :

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
                

L'StartConfigurationPolicyAssociationAPI renvoie un champ appeléAssociationStatus. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage de l'état à SUCCESS ou peut prendre jusqu'PENDINGà 24 heuresFAILURE. Pour plus d'informations sur le statut de l'association, consultezÉtat d'association d'une configuration.