创建和关联 Security Hub 配置策略

委派的管理员账户可以创建 AWS Security Hub 配置策略并将其与组织帐户、组织单位 (OU) 或根相关联。您还可以将自我管理的配置与账户、OU 或根相关联。

如果您是首次创建配置策略，我们建议您先查看 Security Hub 配置策略的工作原理。

选择您的首选访问方法，然后按照步骤创建和关联配置策略或自管理配置。使用 Security Hub 控制台时，您可以将一个配置同时与多个账户或 OU 相关联。使用 Security Hub API 或时 AWS CLI，您只能在每个请求中将配置与一个账户或 OU 关联。

注意

如果您使用中央配置，Security Hub 会自动禁用涉及除本地区之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件将在所有可用区域中启用。要将这些控件的结果限制在一个区域内，您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。当你使用中央配置时，你无法覆盖主区域和任何关联区域中不可用的控件。有关涉及全局资源的控件列表，请参阅处理全局资源的控件。

Security Hub console

要创建和关联配置策略

打开 AWS Security Hub 控制台，网址为 https://console.aws.amazon.com/securityhub/。

使用主区域中 Security Hub 委托管理员账户的凭证登录。
在导航窗格中，选择配置和策略选项卡。然后选择创建策略。
如果这是您第一次创建配置策略，则在配置组织页面上，可以在配置类型下看到三个选项。如果您已经创建了至少一个配置策略，则只能看到自定义策略选项。
- 选择 “在整个组织中使用 AWS 推荐的 Security Hub 配置” 以使用我们推荐的策略。推荐的策略在所有组织帐户中启用 Security Hub，启用 AWS 基础安全最佳实践 (FSBP) 标准，并启用所有新的和现有的 FSBP 控件。控件使用默认参数值。
- 选择我还没准备好配置，以稍后创建配置策略。
- 选择自定义策略，以创建自定义配置策略。指定是启用还是禁用 Security Hub、要启用哪些标准以及要在这些标准中启用哪些控件。（可选）为一个或多个支持自定义参数的已启用控件指定自定义参数值。
在账户部分，选择要将配置策略应用于哪些目标账户、OU 或根。
- 如果要将配置策略应用于根，请选择所有账户。这包括组织中所有未应用或继承其他策略的账户和 OU。
- 如果要将配置策略应用于特定账户或 OU，请选择特定账户。输入账户 ID，或者从组织结构中选择账户和 OU。创建策略时，您最多可以将策略应用于 15 个目标（账户、OU 或 root）。要指定更大的数字，请在创建策略后对其进行编辑，然后将其应用于其他目标。
- 选择仅限委托管理员，将配置策略应用于当前的委托管理员账户。
选择下一步。
在查看和应用页面上，查看您的配置策略详细信息。然后选择创建并应用策略。在您的主区域和关联区域中，此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联，也可以从父节点继承。已应用目标的子账户和 OU 将自动继承此配置策略，除非它们被排除在外、自行管理或使用不同的配置策略。

Security Hub API

要创建和关联配置策略

从主区域的 Security Hub 委托管理员账户调用 CreateConfigurationPolicy API。
对于 Name，输入配置策略的唯一名称。（可选）对于 Description，为配置策略提供描述。
在 ServiceEnabled 字段中，指定要在此配置策略中启用还是禁用 Security Hub。
在 EnabledStandardIdentifiers 字段中，指定要在此配置策略中启用哪些 Security Hub 标准。
对于 SecurityControlsConfiguration 对象，请在此配置策略中指定要启用或禁用的控件。选择 EnabledSecurityControlIdentifiers 意味着指定的控件已启用。已启用标准中的其他控件（包括新发布的控件）将被禁用。选择 DisabledSecurityControlIdentifiers 意味着指定的控件被禁用。属于已启用标准的其他控件（包括新发布的控件）将被启用。
或者，在 SecurityControlCustomParameters 字段中，指定要为其自定义参数的已启用控件。为 ValueType 字段提供 CUSTOM，为 Value 字段提供自定义参数值。该值必须是正确的数据类型，并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息，请参阅自定义控制参数。
要将您的配置策略应用于账户或 OU，请从主区域的 Security Hub 委托管理员账户中调用 StartConfigurationPolicyAssociation API。
ConfigurationPolicyIdentifier在该字段中，提供政策的亚马逊资源名称 (ARN) 或通用唯一标识符 (UUID)。ARN 和 UUID 由 API 返回。CreateConfigurationPolicy对于自管理配置，该ConfigurationPolicyIdentifier字段等于。SELF_MANAGED_SECURITY_HUB
在 Target 字段中，提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个 API 请求中提供一个目标。所选目标的子账户和 OU 将自动继承此配置策略，除非它们是自行管理的或使用不同的配置策略。

用于创建配置策略的 API 请求示例：


{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

用于关联配置策略的 API 请求示例：


{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}

AWS CLI

要创建和关联配置策略

从主区域的 Security Hub 委托管理员账户运行 create-configuration-policy 命令。
对于 name，输入配置策略的唯一名称。（可选）对于 description，为配置策略提供描述。
在 ServiceEnabled 字段中，指定要在此配置策略中启用还是禁用 Security Hub。
在 EnabledStandardIdentifiers 字段中，指定要在此配置策略中启用哪些 Security Hub 标准。
在 SecurityControlsConfiguration 字段中，请在此配置策略中指定要启用或禁用的控件。选择 EnabledSecurityControlIdentifiers 意味着指定的控件已启用。已启用标准中的其他控件（包括新发布的控件）将被禁用。选择 DisabledSecurityControlIdentifiers 意味着指定的控件被禁用。适用于您已启用标准的其他控件（包括新发布的控件）已启用。
或者，在 SecurityControlCustomParameters 字段中，指定要为其自定义参数的已启用控件。为 ValueType 字段提供 CUSTOM，为 Value 字段提供自定义参数值。该值必须是正确的数据类型，并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息，请参阅自定义控制参数。
要将您的配置策略应用于账户或 OU，请从主区域的 Security Hub 委托管理员账户中运行 start-configuration-policy-association 命令。
请为 configuration-policy-identifier 字段提供配置策略的 Amazon 资源名称（ARN）或 ID。此 ARN 和 ID 由 create-configuration-policy 命令返回。
在 target 字段中，提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略，除非它们是自行管理的或使用不同的配置策略。

用于创建配置策略的命令示例：


aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

用于关联配置策略的命令示例：


aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociation API 返回一个名为 AssociationStatus 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESS 或 FAILURE 可能需要长达 24 小时的时间。有关关联状态的更多信息，请参阅配置的关联状态。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

配置策略的工作原理

查看配置策略