本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立和關聯安全性中樞組態原則
委派的管理員帳戶可以建立組 AWS Security Hub 態原則,並將其與組織帳戶、組織單位 (OU) 或根建立關聯。您也可以將自我管理的組態與帳戶、OU 或根建立關聯。
如果這是您第一次建立組態原則,建議您先檢閱Security Hub 組態原則的運作方式。
選擇您偏好的存取方法,然後依照步驟建立組態原則或自我管理的組態並建立關聯。使用 Security Hub 主控台時,您可以同時將組態與多個帳戶或 OU 產生關聯。使用安全中心 API 時 AWS CLI,或者,您可以將組態與每個要求中只有一個帳戶或 OU 建立關聯。
注意
如果您使用中央組態,Security Hub 會自動停用與所有區域 (主區域除外) 中涉及全域資源的控制項。您選擇透過組態原則啟用的其他控制項在所有可用的區域中啟用這些控制項。若要將這些控制項的發現項目限制為只有一個「區域」,您可以更新記 AWS Config 錄器設定,並關閉所有區域中的全域資源記錄,但本地區域除外。當您使用中央設定時,您缺少在本地區域和任何連結區域中無法使用的控制項的涵蓋範圍。如需涉及全域資源的控制項清單,請參閱處理全球資源的控制。
- Security Hub console
-
若要建立並關聯組態原則
開啟主 AWS Security Hub 控台,網址為 https://console.aws.amazon.com/securityhub/
。 使用安全中心委派系統管理員帳戶在主區域中的認證登入。
-
在瀏覽窗格中,選擇 [組態] 和 [原則] 索引標籤。然後,選擇 [建立原則]。
-
在 [設定組織] 頁面上,如果這是您第一次建立組態原則,您會在 [設定類型] 下看到三個選項。如果您已建立至少一個設定原則,則只會看到 [自訂原則] 選項。
選擇 [在整個組織中使用 AWS 建議的 Security Hub 組態],以使用我們建議的原則。建議的原則會在所有組織帳戶中啟用安全性中樞、啟用 AWS 基礎安全性最佳作法 (FSBP) 標準,並啟用所有新的和現有的 FSBP 控制項。控制項使用預設參數值。
選擇 [我尚未準備好設定],以便稍後建立設定原則。
選擇 [自訂原則] 以建立自訂組態原則。指定是否要啟用或停用 Security Hub、要啟用哪些標準,以及要在這些標準中啟用哪些控制項。或者,為支援自訂參數的一個或多個已啟用控制項指定自訂參數值。
-
在 [帳戶] 區段中,選擇您要套用組態原則的目標帳戶、OU 或根目錄。
如果您要將組態策略套用至根目錄,請選擇 [所有帳號]。這包括組織中沒有套用或繼承其他原則的所有帳戶和 OU。
如果您要將組態策略套用至特定帳戶或 OU,請選擇 [特定帳戶]。輸入帳號 ID,或從組織結構中選取帳戶和 OU。建立策略時,您最多可以將原則套用至 15 個目標 (帳戶、OU 或根目錄)。若要指定較大的數字,請在建立後編輯策略,然後將其套用至其他目標。
選擇僅委派管理員,將組態原則套用至目前委派的管理員帳戶。
-
選擇下一步。
-
在 [檢閱並套用] 頁面上,檢閱您的組態原則詳細資料。然後,選擇 [建立原則並套用]。在您的首頁「區域」和「連結的區域」中,此動作會覆寫與此組態政策相關聯之帳戶的現有組態設定。帳戶可以透過應用程式與組態策略相關聯,或從父節點繼承。已套用目標的子帳戶和 OU 會自動繼承此組態原則,除非特別排除、自我管理或使用不同的組態原則。
- Security Hub API
-
若要建立並關聯組態原則
-
從主區域中的安全中心委派系統管理員帳戶叫用 CreateConfigurationPolicyAPI。
-
針對
Name
,提供組態原則的唯一名稱。(選擇性) 提供組態原則的說明。Description
-
對於
ServiceEnabled
欄位,請指定是否要在此設定原則中啟用或停用 Security Hub。 -
針對
EnabledStandardIdentifiers
欄位,指定您要在此組態原則中啟用的 Security Hub 標準。 -
針對
SecurityControlsConfiguration
物件,指定您要在此組態原則中啟用或停用的控制項。選擇EnabledSecurityControlIdentifiers
表示已啟用指定的控制項。其他屬於已啟用標準 (包括新發行的控制項) 的一部分的控制項會停用。選擇DisabledSecurityControlIdentifiers
表示指定的控制項已停用。其他屬於已啟用標準 (包括新發行的控制項) 的一部分的控制項會啟用。 -
或者,針對
SecurityControlCustomParameters
欄位指定您要自訂參數的已啟用控制項。提CUSTOM
供ValueType
欄位和欄位的自訂參數Value
值。該值必須是正確的數據類型,並且在 Security Hub 指定的有效範圍內。僅選取控制項支援自訂參數值。如需詳細資訊,請參閱 自訂控制參數。 -
若要將您的設定原則套用至帳戶或 OU,請從主區域中的 Security Hub 委派系統管理員帳戶叫用 StartConfigurationPolicyAssociationAPI。
-
針對
ConfigurationPolicyIdentifier
欄位,請提供政策的 Amazon 資源名稱 (ARN) 或通用唯一識別碼 (UUID)。該 ARN 和 UUID 是由 API 返回。CreateConfigurationPolicy
對於自我管理的組態,ConfigurationPolicyIdentifier
欄位等於SELF_MANAGED_SECURITY_HUB
。 -
針對
Target
欄位,請提供您要套用此組態原則的 OU、帳戶或根 ID。您只能在每個 API 請求中提供一個目標。所選目標的子帳戶和 OU 會自動繼承此組態原則,除非它們是自我管理或使用不同的組態原則。
建立設定原則的 API 要求範例:
{ "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
關聯組態原則的 API 要求範例:
{ "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} }
-
- AWS CLI
-
若要建立並關聯組態原則
-
從主區域中的安全中心委派系統管理員帳戶執行create-configuration-policy
命令。 -
針對
name
,提供組態原則的唯一名稱。(選擇性) 提供組態原則的說明。description
-
對於
ServiceEnabled
欄位,請指定是否要在此設定原則中啟用或停用 Security Hub。 -
針對
EnabledStandardIdentifiers
欄位,指定您要在此組態原則中啟用的 Security Hub 標準。 -
在
SecurityControlsConfiguration
欄位中,指定您要在此組態原則中啟用或停用的控制項。選擇EnabledSecurityControlIdentifiers
表示已啟用指定的控制項。其他屬於已啟用標準 (包括新發行的控制項) 的一部分的控制項會停用。選擇DisabledSecurityControlIdentifiers
表示指定的控制項已停用。會啟用套用至已啟用標準的其他控制項 (包括新發行的控制項)。 -
或者,針對
SecurityControlCustomParameters
欄位指定您要自訂參數的已啟用控制項。提CUSTOM
供ValueType
欄位和欄位的自訂參數Value
值。該值必須是正確的數據類型,並且在 Security Hub 指定的有效範圍內。僅選取控制項支援自訂參數值。如需詳細資訊,請參閱 自訂控制參數。 -
若要將您的組態原則套用至帳戶或 OU,請從主區域中的 Security Hub 委派系統管理員帳戶執行start-configuration-policy-association
命令。 -
對於該
configuration-policy-identifier
欄位,請提供組態政策的 Amazon 資源名稱 (ARN) 或識別碼。此 ARN 和 ID 由create-configuration-policy
命令返回。 -
針對
target
欄位,請提供您要套用此組態原則的 OU、帳戶或根 ID。每次執行命令時,您只能提供一個目標。所選目標的子系會自動繼承此組態原則,除非它們是自行管理或使用不同的組態原則。
建立組態原則的範例命令:
aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
關聯組態原則的範例命令:
aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
-
該 StartConfigurationPolicyAssociation
API 返回一個名為的字段AssociationStatus
。此欄位會告訴您原則關聯處於擱置中狀態,或處於成功或失敗的狀態。狀態可能需要 24 小時才會從SUCCESS
或PENDING
變更FAILURE
。如需關聯狀態的詳細資訊,請參閱組態的關聯狀態。