在 Security Hub CSPM 中停用中央組態 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Hub CSPM 中停用中央組態

當您在 AWS Security Hub CSPM 中停用中央組態時,委派管理員將無法跨多個組織單位 (OUs) 和 設定 Security Hub CSPM AWS 帳戶、安全標準和安全控制 AWS 區域。相反地,您必須為每個區域中的每個帳戶分別設定大多數設定。

重要

在停用中央組態之前,您必須先取消帳戶和 OUs 與其目前組態的關聯,無論是組態政策還是自我管理行為。

您必須先刪除現有的組態政策,才能停用中央組態

當您停用中央組態時,會發生下列變更:

  • 委派管理員無法再為組織建立組態政策。

  • 已套用或繼承組態政策的帳戶會保留其目前的設定,但會自我管理。

  • 您的組織會切換到本機組態。在本機組態下,大多數 Security Hub CSPM 設定都必須在每個組織帳戶和區域中分別設定。委派管理員可以選擇自動啟用 Security Hub CSPM、預設安全標準,以及屬於新組織帳戶中預設標準一部分的所有控制項。預設標準是 AWS 基礎安全最佳實務 (FSBP) 和網際網路安全中心 (CIS) AWS 基準 1.2.0 版。這些設定只會在目前區域中生效,並且只會影響新的組織帳戶。委派管理員無法變更預設的標準。本機組態不支援在 OU 層級使用組態政策或組態。

當您停止使用中央組態時,委派管理員帳戶的身分會保持不變。您的主要區域和連結區域也保持不變 (您的主要區域現在稱為彙總區域,可用於尋找彙總)。

選擇您偏好的方法,然後依照步驟停止使用中央組態並切換到本機組態。

Security Hub CSPM console
停用中央組態 (主控台)

  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub CSPM 主控台。

    使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。

  2. 在導覽窗格中,選擇設定組態

  3. 概觀區段中,選擇編輯

  4. 編輯組織組態方塊中,選擇本機組態。如果您還沒有,系統會提示您取消關聯並刪除目前的組態政策,然後才能停止中央組態。指定為自我管理的帳戶或 OUs 必須與其自我管理組態取消關聯。您可以在 主控台中執行此操作,方法是將每個自我管理帳戶或 OU 的管理類型變更為集中管理和從我的組織繼承

  5. 或者,選取新組織帳戶的本機組態設定。

  6. 選擇確認

Security Hub CSPM API
停用中央組態 (API)

  1. 叫用 UpdateOrganizationConfiguration API。

  2. OrganizationConfiguration 物件中的 ConfigurationType 欄位設定為 LOCAL。如果您有現有的組態政策或政策關聯,API 會傳回錯誤。若要取消與組態政策的關聯,請叫用 StartConfigurationPolicyDisassociation API。若要刪除組態政策,請叫用 DeleteConfigurationPolicy API。

  3. 如果您想要在新的組織帳戶中自動啟用 Security Hub CSPM,請將 AutoEnable 欄位設定為 true。根據預設,此欄位的值為 false,且 Security Hub CSPM 不會在新組織帳戶中自動啟用。或者,如果您想要在新的組織帳戶中自動啟用預設安全標準,請將 AutoEnableStandards 欄位設定為 DEFAULT。這是預設值。如果您不想在新的組織帳戶中自動啟用預設安全標準,請將 AutoEnableStandards 欄位設定為 NONE

範例 API 請求:

{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
AWS CLI
停用中央組態 (AWS CLI)

  1. 執行 update-organization-configuration 命令。

  2. organization-configuration 物件中的 ConfigurationType 欄位設定為 LOCAL。如果您有現有的組態政策或政策關聯, 命令會傳回錯誤。若要取消與組態政策的關聯,請執行 start-configuration-policy-disassociation命令。若要刪除組態政策,請執行 delete-configuration-policy命令。

  3. 如果您想要在新的組織帳戶中自動啟用 Security Hub CSPM,請包含 auto-enable 參數。根據預設,此參數的值為 no-auto-enable,且 Security Hub CSPM 不會在新組織帳戶中自動啟用。或者,如果您想要在新的組織帳戶中自動啟用預設安全標準,請將 auto-enable-standards 欄位設定為 DEFAULT。這是預設值。如果您不想在新的組織帳戶中自動啟用預設安全標準,請將 auto-enable-standards 欄位設定為 NONE

aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'