Security Hub 구성 정책 업데이트 - AWS Security Hub

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub 구성 정책 업데이트

위임된 관리자 계정은 필요에 따라 AWS Security Hub 구성 정책을 업데이트할 수 있습니다. 위임된 관리자는 정책 설정, 정책이 연결된 계정이나 OU 또는 둘 다를 업데이트할 수 있습니다. 정책 설정이 업데이트되면 구성 정책에 연결된 계정이 업데이트된 정책을 자동으로 사용하기 시작합니다.

구성 정책을 만들 때와 마찬가지로 다음 정책 설정을 업데이트할 수 있습니다.

  • Security Hub를 활성화하거나 비활성화합니다.

  • 하나 이상의 보안 표준을 활성화합니다.

  • 활성화된 표준 전반에서 어떤 보안 제어를 사용할 수 있는지 표시합니다. 이를 위해 활성화해야 하는 특정 제어 목록을 제공할 수 있습니다. 그러면 Security Hub에서 새 제어가 릴리스될 떄 새 제어를 포함한 다른 모든 제어를 비활성화합니다. 또는 비활성화해야 하는 특정 제어의 목록을 제공할 수 있습니다. 그러면 Security Hub에서 새 제어가 릴리스될 때 이를 포함하여 다른 모든 제어를 활성화합니다.

  • 사용 가능한 표준에서 사용할 수 있는 제어를 선택할 수 있도록 파라미터를 사용자 지정할 수도 있습니다.

원하는 방법을 선택하고 다음 단계에 따라 구성 정책을 업데이트하세요.

중앙 구성을 사용하는 경우 Security Hub는 홈 지역을 제외한 모든 지역의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 사용하도록 선택한 기타 제어 기능은 사용 가능한 모든 지역에서 사용할 수 있습니다. 이러한 컨트롤에 대한 검색 결과를 한 지역으로만 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 지역을 제외한 모든 지역에서 글로벌 리소스 기록을 끄면 됩니다. 중앙 구성을 사용하면 홈 지역이나 연결된 지역에서 사용할 수 없는 컨트롤을 사용할 수 없게 됩니다. 글로벌 리소스와 관련된 컨트롤 목록은 을 참조하십시오글로벌 리소스를 사용하는 컨트롤.

Console
구성 정책을 업데이트하려면

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

    홈 리전에서 Security Hub 위임된 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

  2. 탐색 창에서 설정구성을 선택합니다.

  3. 정책 탭을 선택합니다.

  4. 편집할 구성 정책을 선택하고 편집을 선택합니다. 원하는 경우 정책 설정을 편집합니다. 정책 설정을 변경하지 않으려면 이 섹션을 그대로 둡니다.

  5. 다음을 선택합니다. 원하는 경우 정책 연결을 편집합니다. 정책 연결을 변경하지 않으려면 이 섹션을 그대로 둡니다. 정책을 업데이트할 때 최대 15개의 대상 (계정, OU 또는 루트) 에 정책을 연결하거나 연결을 끊을 수 있습니다.

  6. 다음을 선택합니다.

  7. 변경 사항을 검토하고 저장 및 적용을 선택합니다. 홈 리전 및 연결된 리전에서 이 작업은 이 구성 정책과 연결된 계정의 기존 구성 설정보다 우선 적용됩니다. 계정은 적용 또는 상위 노드로부터의 상속을 통해 구성 정책에 연결될 수 있습니다.

API
구성 정책을 업데이트하려면

  1. 구성 정책의 설정을 업데이트하려면 홈 리전의 Security Hub 위임된 관리자 계정에서 UpdateConfigurationPolicy API를 호출합니다.

  2. 업데이트할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

  3. ConfigurationPolicy 아래 필드에 업데이트된 값을 입력합니다. 필요에 따라 업데이트 이유를 입력할 수도 있습니다.

  4. 이 구성 정책에 새 연결을 추가하려면 홈 리전의 Security Hub 위임된 관리자 계정에서 StartConfigurationPolicyAssociation API를 호출합니다. 현재 연결을 하나 이상 제거하려면 홈 리전의 Security Hub 위임된 관리자 계정에서 StartConfigurationPolicyDisassociation API를 호출합니다.

  5. ConfigurationPolicyIdentifier 필드에는 연결을 업데이트하려는 구성 정책의 ARN 또는 ID를 입력합니다.

  6. Target 필드에 연결하거나 연결 해제하려는 계정, OU 또는 루트 ID를 입력합니다. 이 작업은 지정된 OU 또는 계정에 대한 이전 정책 연결을 무시합니다.

참고

UpdateConfigurationPolicy API를 호출하면 Security Hub는 EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiersSecurityControlCustomParameters 필드의 전체 목록 대체를 수행합니다. 이 API를 호출할 때마다 활성화하려는 표준의 전체 목록과 활성화 또는 비활성화하고 파라미터를 사용자 지정하려는 제어의 전체 목록을 제공하세요.

구성 정책을 업데이트하기 위한 API 요청 예시:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
구성 정책을 업데이트하려면

  1. 구성 정책의 설정을 업데이트하려면 홈 리전의 Security Hub 위임된 관리자 계정에서 update-configuration-policy 명령을 실행합니다.

  2. 업데이트할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

  3. configuration-policy 아래 필드에 업데이트된 값을 입력합니다. 필요에 따라 업데이트 이유를 입력할 수도 있습니다.

  4. 이 구성 정책에 새 연결을 추가하려면 홈 리전의 Security Hub 위임된 관리자 계정에서 start-configuration-policy-association 명령을 실행합니다. 현재 연결을 하나 이상 제거하려면 홈 리전의 Security Hub 위임된 관리자 계정에서 start-configuration-policy-disassociation 명령을 실행합니다.

  5. configuration-policy-identifier 필드에는 연결을 업데이트하려는 구성 정책의 ARN 또는 ID를 입력합니다.

  6. target 필드에 연결하거나 연결 해제하려는 계정, OU 또는 루트 ID를 입력합니다. 이 작업은 지정된 OU 또는 계정에 대한 이전 정책 연결을 무시합니다.

참고

update-configuration-policy 명령을 실행하면 Security Hub에서 EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiersSecurityControlCustomParameters 필드의 전체 목록 대체를 수행합니다. 이 명령을 실행할 때마다 활성화하려는 표준의 전체 목록과 활성화 또는 비활성화하고 파라미터를 사용자 지정하려는 제어의 전체 목록을 제공하세요.

구성 정책을 업데이트하기 위한 명령 예시:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

StartConfigurationPolicyAssociation API는 AssociationStatus라는 필드를 반환합니다. 이 필드는 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. PENDING에서 SUCCESS 또는 FAILURE로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 연결 상태에 대한 자세한 내용은 구성의 연결 상태 섹션을 참조하세요.