更新 Security Hub 配置策略 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新 Security Hub 配置策略

委派的管理员账户可以根据需要更新 AWS Security Hub 配置策略。委托管理员可以更新策略设置和/或与策略关联的账户或 OU。更新策略设置后,与配置策略关联的账户会自动开始使用更新后的策略。

与创建配置策略时类似,您可以更新以下策略设置:

  • 启用或禁用 Security Hub。

  • 启用一项或多项安全标准

  • 指明在已启用的标准中启用了哪些安全控件。为此,您可以提供应启用的特定控件列表,并且 Security Hub 会禁用所有其他控件,包括在新控件发布时直接禁用。此外,您可以提供应禁用的特定控件列表,并且 Security Hub 会启用所有其他控件,包括在新控件发布时直接启用。

  • (可选)在已启用的标准中为选定的已启用控件自定义参数

选择首选方法,然后按照步骤更新配置策略。

如果您使用中央配置,Security Hub 会自动禁用涉及除本地区之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件将在所有可用区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。当你使用中央配置时,你无法覆盖主区域和任何关联区域中不可用的控件。有关涉及全局资源的控件列表,请参阅处理全局资源的控件

Console
要更新配置策略

  1. 打开 AWS Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 选择策略选项卡。

  4. 选择要编辑的配置策略,然后选择编辑。如果需要,请编辑策略设置。如果要保持策略设置不变,请保留此部分。

  5. 选择下一步。如果需要,请编辑策略关联。如果要保持策略关联不变,请保留此部分。更新策略时,您可以将策略与最多 15 个目标(账户、OU 或 root)关联或取消关联。

  6. 选择下一步

  7. 检查更改,然后选择保存并应用。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。

API
要更新配置策略

  1. 要更新配置策略中的设置,请从主区域的 Security Hub 委托管理员账户调用 UpdateConfigurationPolicy API。

  2. 提供要更新的配置策略的 Amazon 资源名称(ARN)或 ID。

  3. ConfigurationPolicy 下方的字段提供更新后的值。(可选)您还可以提供更新原因。

  4. 要为此配置策略添加新的关联,请从主区域的 Security Hub 委托管理员账户调用 StartConfigurationPolicyAssociation API。要删除一个或多个当前关联,请从主区域的 Security Hub 委托管理员账户调用 StartConfigurationPolicyDisassociation API。

  5. 对于 ConfigurationPolicyIdentifier 字段,提供要更新其关联的配置策略的 ARN 或 ID。

  6. 对于 Target 字段,提供要关联或解除关联的账户、OU 或根 ID。此操作将覆盖指定 OU 或账户之前的策略关联。

注意

调用 UpdateConfigurationPolicy API 时,Security Hub 会对 EnabledStandardIdentifiersEnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiersSecurityControlCustomParameters 字段执行完整列表替换。每次调用此 API 时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。

更新配置策略的 API 请求示例:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
要更新配置策略

  1. 要更新配置策略中的设置,请从主区域的 Security Hub 委托管理员账户运行 update-configuration-policy 命令。

  2. 提供要更新的配置策略的 Amazon 资源名称(ARN)或 ID。

  3. configuration-policy 下方的字段提供更新后的值。(可选)您还可以提供更新原因。

  4. 要为此配置策略添加新的关联,请从主区域的 Security Hub 委托管理员账户运行 start-configuration-policy-association 命令。要删除一个或多个当前关联,请从主区域的 Security Hub 委托管理员账户运行 start-configuration-policy-disassociation 命令。

  5. 对于 configuration-policy-identifier 字段,提供要更新其关联的配置策略的 ARN 或 ID。

  6. 对于 target 字段,提供要关联或解除关联的账户、OU 或根 ID。此操作将覆盖指定 OU 或账户之前的策略关联。

注意

运行 update-configuration-policy 命令时,Security Hub 会对 EnabledStandardIdentifiersEnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiersSecurityControlCustomParameters 字段执行完整列表替换。每次运行此命令时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。

更新配置策略的命令示例:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

StartConfigurationPolicyAssociation API 返回一个名为 AssociationStatus 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILURE 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅配置的关联状态