更新 Security Hub 組態原則

委派的系統管理員帳戶可視需要更新 AWS Security Hub 組態原則。委派的系統管理員可以更新原則設定、與策略相關聯的帳戶或 OU，或兩者都更新。更新策略設定後，與組態策略相關聯的帳戶會自動開始使用更新的策略。

與建立組態原則時類似，您可以更新下列原則設定：

• 啟用或停用 Security Hub。

• 啟用一或多個安全性標準。

• 指出在已啟用的標準中啟用哪些安全性控制。您可以提供應啟用的特定控制項清單，而 Security Hub 會停用所有其他控制項，包括發行時的新控制項。或者，您可以提供應停用的特定控制項清單，而 Security Hub 會啟用所有其他控制項，包括發行時的新控制項。

• (可選) 為已啟用的標準中選取的啟用控制項自訂參數。

選擇您偏好的方法，然後按照步驟更新配置策略。

如果您使用中央組態，Security Hub 會自動停用與所有區域 (主區域除外) 中涉及全域資源的控制項。您選擇透過組態原則啟用的其他控制項在所有可用的區域中啟用這些控制項。若要將這些控制項的發現項目限制為只有一個「區域」，您可以更新記 AWS Config 錄器設定，並關閉所有區域中的全域資源記錄，但本地區域除外。當您使用中央設定時，您缺少在本地區域和任何連結區域中無法使用的控制項的涵蓋範圍。如需涉及全域資源的控制項清單，請參閱處理全球資源的控制。

Console

若要更新組態原則

1. 請在以下位置開啟 AWS Security Hub 主控台。 https://console.aws.amazon.com/securityhub/

   使用安全中心委派系統管理員帳戶在主區域中的認證登入。

2. 在功能窗格中，選擇 [設定和組態]。

3. 選擇 Policies (政策) 標籤。

4. 選取您要編輯的組態原則，然後選擇 [編輯]。如果需要，請編輯策略設定。如果您要保持原則設定不變，請保持此區段不變。

5. 選擇下一步。如果需要，請編輯原則關聯。如果您要保持原則關聯不變，請保持此段落不變。當您更新原則時，您可以將原則與最多 15 個目標 (帳號、OU 或根目錄) 產生關聯或取消關聯。

6. 選擇下一步。

7. 檢閱您的變更，然後選擇 [儲存並套用]。在您的首頁「區域」和「連結的區域」中，此動作會覆寫與此組態政策相關聯之帳戶的現有組態設定。帳戶可以透過應用程式與組態策略相關聯，或從父節點繼承。

API

若要更新組態原則

1. 若要更新組態原則中的設定，請從主區域中的 Security Hub 委派系統管理員帳戶叫用 UpdateConfigurationPolicyAPI。

2. 提供您要更新之組態政策的 Amazon 資源名稱 (ARN) 或識別碼。

3. 為下的欄位提供更新的值ConfigurationPolicy。或者，您也可以提供更新的原因。

4. 若要新增此組態原則的新關聯，請從主區域中的 Security Hub 委派系統管理員帳戶叫用 StartConfigurationPolicyAssociationAPI。若要移除一或多個目前的關聯，請從主區域中的 Security Hub 委派系統管理員帳戶叫用 StartConfigurationPolicyDisassociationAPI。

5. 在ConfigurationPolicyIdentifier欄位中，提供您要更新其關聯之組態原則的 ARN 或 ID。

6. 針對Target欄位，提供您要關聯或取消關聯的帳戶、OU 或根 ID。此動作會覆寫指定 OU 或帳號之前的原則關聯。

注意

當您呼叫 UpdateConfigurationPolicy API 時，Security Hub 會執行EnabledStandardIdentifiers、EnabledSecurityControlIdentifiers、DisabledSecurityControlIdentifiers和SecurityControlCustomParameters欄位的完整清單取代。每次呼叫此 API 時，請提供您要啟用的完整標準清單，以及您要啟用或停用和自訂參數的控制項完整清單。

更新配置策略的 API 請求示例：

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
                

AWS CLI

若要更新組態原則

1. 若要更新組態原則中的設定，請從主區域中的 Security Hub 委派系統管理員帳戶執行update-configuration-policy命令。

2. 提供您要更新之組態政策的 Amazon 資源名稱 (ARN) 或識別碼。

3. 為下的欄位提供更新的值configuration-policy。或者，您也可以提供更新的原因。

4. 若要新增此組態原則的新關聯，請從主區域中的 Security Hub 委派系統管理員帳戶執行start-configuration-policy-association命令。若要移除一或多個目前的關聯，請從主區域中的 Security Hub 委派系統管理員帳戶執行start-configuration-policy-disassociation命令。

5. 在configuration-policy-identifier欄位中，提供您要更新其關聯之組態原則的 ARN 或 ID。

6. 針對target欄位，提供您要關聯或取消關聯的帳戶、OU 或根 ID。此動作會覆寫指定 OU 或帳號之前的原則關聯。

注意

當您執行命update-configuration-policy令時，Security Hub 會執行EnabledStandardIdentifiers、EnabledSecurityControlIdentifiers、DisabledSecurityControlIdentifiers和SecurityControlCustomParameters欄位的完整清單取代。每次執行此命令時，請提供您要啟用的完整標準清單，以及您要啟用或停用和自訂參數的控制項完整清單。

更新配置策略的示例命令：

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
                

該 StartConfigurationPolicyAssociation API 返回一個名為的字段AssociationStatus。此欄位會告訴您原則關聯處於擱置中狀態，或處於成功或失敗的狀態。狀態可能需要 24 小時才會從SUCCESS或PENDING變更FAILURE。如需關聯狀態的詳細資訊，請參閱組態的關聯狀態。