Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ein standardübergreifendes Steuerelement deaktivieren
Wir empfehlen, eine standardübergreifende AWS Security Hub Cloud Security Posture Management (CSPM) -Steuerung zu deaktivieren, um die Abstimmung in Ihrem gesamten Unternehmen aufrechtzuerhalten. Wenn Sie eine Kontrolle nur in bestimmten Standards deaktivieren, erhalten Sie weiterhin Ergebnisse für die Kontrolle, wenn sie in anderen Standards aktiviert ist.
Standardübergreifende Deaktivierung in mehreren Konten und Regionen
Um eine Sicherheitskontrolle für mehrere AWS-Konten Länder zu deaktivieren AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.
Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards deaktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten oder dem Stammkonto zuordnen. OUs Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.
Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass alle AWS CloudTrail Steuerelemente in einer Organisationseinheit deaktiviert werden, und Sie können festlegen, dass alle IAM-Steuerelemente in einer anderen Organisationseinheit deaktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für den Sicherheitsschutz in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Kontrollen standardübergreifend deaktiviert, finden Sie unter. Konfigurationsrichtlinien erstellen und zuordnen
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Kontrollen in allen Standards außer dem Service-Managed Standard zu verwalten:. AWS Control Tower Die Kontrollen für diesen Standard sollten im Service konfiguriert werden. AWS Control Tower
Wenn Sie möchten, dass einige Konten ihre eigenen Steuerungen konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Kontrollen in jeder Region separat konfigurieren.
Standardübergreifende Deaktivierung in einem einzigen Konto und einer Region
Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch eine Steuerung für ein einzelnes Konto und eine Region deaktivieren.
- Security Hub CSPM console
-
Um ein standardübergreifendes Steuerelement in einem Konto und einer Region zu deaktivieren
Öffnen Sie die AWS Security Hub Cloud Security Posture Management (CSPM) -Konsole unter. https://console.aws.amazon.com/securityhub/
-
Wählen Sie im Navigationsbereich Controls aus.
-
Wählen Sie die Option neben einem Steuerelement aus.
-
Wählen Sie Steuerung deaktivieren. Diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist.
-
Wählen Sie einen Grund für die Deaktivierung des Steuerelements aus und bestätigen Sie, indem Sie „Deaktivieren“ wählen.
-
Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.
- Security Hub CSPM API
-
Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren
-
Rufen Sie die ListStandardsControlAssociationsAPI auf. Geben Sie eine Sicherheitskontroll-ID an.
Beispiel für eine Anfrage:
{
"SecurityControlId": "IAM.1"
}
-
Rufen Sie die BatchUpdateStandardsControlAssociationsAPI auf. Geben Sie den ARN aller Standards an, in denen das Steuerelement aktiviert ist. Führen Sie den Befehl aus ARNs, um den Standard abzurufen DescribeStandards.
-
Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.
Beispiel für eine Anfrage:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}
-
Wiederholen Sie dies in jeder Region, in der Sie das Steuerelement deaktivieren möchten.
- AWS CLI
-
Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren
-
Führen Sie den Befehl list-standards-control-associations aus. Geben Sie eine ID für die Sicherheitskontrolle ein.
aws securityhub --region us-east-1CloudTrail.1
-
Führen Sie den Befehl batch-update-standards-control-associations aus. Geben Sie den ARN aller Standards an, in denen das Steuerelement aktiviert ist. Führen Sie den describe-standards Befehl aus ARNs, um den Standard zu erhalten.
-
Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.
aws securityhub --region us-east-1'[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
-
Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.
