取消組態與其目標的關聯 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

取消組態與其目標的關聯

從委派的 AWS Security Hub 管理員帳戶,您可以取消組態政策或自我管理組態與帳戶、OU 或根的關聯。取消關聯會保留政策以供未來使用,但會從特定帳戶、 OUs或根移除現有的關聯。您只能取消直接套用的組態,而不能取消繼承的組態的關聯。若要變更繼承的組態,您可以將組態政策或自我管理行為套用至受影響的帳戶或 OU。您也可以將包含所需修改的新組態政策套用至最近的父系。

取消關聯不會刪除組態政策。政策會保留在您的帳戶中,因此您可以將其與組織中的其他目標建立關聯。如需刪除組態政策的指示,請參閱 刪除組態政策。取消關聯完成後,受影響的目標會繼承最接近父項的組態政策或自我管理行為。如果沒有可繼承的組態,目標會保留取消關聯之前擁有的設定,但會成為自我管理。

選擇您偏好的方法,並依照步驟取消帳戶、OU 或根與目前組態的關聯。

Console
取消帳戶或 OU 與其目前組態的關聯

  1. 在 開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

    使用主要區域中委派 Security Hub 管理員帳戶的憑證登入。

  2. 在導覽窗格中,選擇設定組態

  3. 組織索引標籤上,選取您要與其目前組態取消關聯的帳戶、OU 或根。選擇編輯

  4. 定義組態頁面上,針對管理 ,如果您希望委派的管理員能夠將政策直接套用至目標,請選擇套用的政策。如果您想要目標繼承其最近父項的組態,請選擇繼承。在這些情況下,委派的管理員會控制目標的設定。如果您想要帳戶或 OU 控制自己的設定,請選擇自我管理

  5. 檢閱變更後,選擇下一步套用 。如果這些組態與您目前的選擇衝突,此動作會覆寫任何帳戶或範圍內OUs的現有組態。

API
取消帳戶或 OU 與其目前組態的關聯

  1. 叫用 StartConfigurationPolicyDisassociation API 從主區域中的 Security Hub 委派管理員帳戶。

  2. 針對 ConfigurationPolicyIdentifier,提供您要取消關聯的組態政策的 Amazon Resource Name (ARN) 或 ID。SELF_MANAGED_SECURITY_HUB 為此欄位提供 以取消自我管理行為的關聯。

  3. 對於 Target,請提供您要與此組態政策取消關聯的帳戶OUs、 或根。

取消關聯組態政策的API請求範例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
AWS CLI
取消帳戶或 OU 與其目前組態的關聯

  1. 執行 start-configuration-policy-disassociation 來自主區域中 Security Hub 委派管理員帳戶的 命令。

  2. 針對 configuration-policy-identifier,提供您要取消關聯的組態政策的 Amazon Resource Name (ARN) 或 ID。SELF_MANAGED_SECURITY_HUB 為此欄位提供 以取消自我管理行為的關聯。

  3. 對於 target,請提供您要與此組態政策取消關聯的帳戶OUs、 或根。

解除組態政策關聯的範例命令:

aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'