本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新 Security Hub 配置策略
委派的管理员账户可以根据需要更新 AWS Security Hub 配置策略。委托管理员可以更新策略设置和/或与策略关联的账户或 OU。更新策略设置后,与配置策略关联的账户会自动开始使用更新后的策略。
与创建配置策略时类似,您可以更新以下策略设置:
选择首选方法,然后按照步骤更新配置策略。
如果您使用中央配置,Security Hub 会自动禁用涉及除本地区之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件将在所有可用区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。当你使用中央配置时,你无法覆盖主区域和任何关联区域中不可用的控件。有关涉及全局资源的控件列表,请参阅处理全局资源的控件。
- Console
-
要更新配置策略
-
打开 AWS Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/。
使用主区域中 Security Hub 委托管理员账户的凭证登录。
-
在导航窗格中,选择设置和配置。
-
选择策略选项卡。
-
选择要编辑的配置策略,然后选择编辑。如果需要,请编辑策略设置。如果要保持策略设置不变,请保留此部分。
-
选择下一步。如果需要,请编辑策略关联。如果要保持策略关联不变,请保留此部分。更新策略时,您可以将策略与最多 15 个目标(账户、OU 或 root)关联或取消关联。
-
选择下一步。
-
检查更改,然后选择保存并应用。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。
- API
-
调用 UpdateConfigurationPolicy
API 时,Security Hub 会对 EnabledStandardIdentifiers
、EnabledSecurityControlIdentifiers
、DisabledSecurityControlIdentifiers
和 SecurityControlCustomParameters
字段执行完整列表替换。每次调用此 API 时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。
更新配置策略的 API 请求示例:
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
- AWS CLI
-
运行 update-configuration-policy
命令时,Security Hub 会对 EnabledStandardIdentifiers
、EnabledSecurityControlIdentifiers
、DisabledSecurityControlIdentifiers
和 SecurityControlCustomParameters
字段执行完整列表替换。每次运行此命令时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。
更新配置策略的命令示例:
aws securityhub update-configuration-policy \
--region us-east-1
\
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
" \
--description "Updated configuration policy
" \
--updated-reason "Disabling CloudWatch.1
" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true
, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2
","CloudWatch.1
"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1
", "Parameters": {"daysToExpiration
": {"ValueType": "CUSTOM
", "Value": {"Integer
": 15
}}}}]}}}'
StartConfigurationPolicyAssociation
API 返回一个名为 AssociationStatus
的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING
变为 SUCCESS
或 FAILURE
可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅配置的关联状态。