Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Deaktivierung eines Sicherheitsstandards

Wenn Sie einen Sicherheitsstandard in Security Hub Cloud AWS Security Posture Management (CSPM) deaktivieren, passiert Folgendes:

Das Löschen der entsprechenden AWS Config Regeln erfolgt in der Regel innerhalb weniger Minuten nach der Deaktivierung eines Standards. Es kann jedoch länger dauern. Wenn die erste Anfrage die Regeln nicht löscht, versucht Security Hub CSPM alle 12 Stunden erneut. Wenn Sie Security Hub CSPM jedoch deaktiviert haben oder keine anderen Standards aktiviert haben, kann Security Hub CSPM es nicht erneut versuchen, was bedeutet, dass die Regeln nicht gelöscht werden können. Wenn dies der Fall ist und Sie die Regeln löschen müssen, wenden Sie sich an. AWS -Support

Deaktivierung eines Standards in mehreren Konten und AWS-Regionen

Verwenden Sie die zentrale Konfiguration AWS-Regionen, um einen Sicherheitsstandard für mehrere Konten und zu deaktivieren. Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards deaktivieren. Der Administrator kann dann einzelnen Konten, Organisationseinheiten (OUs) oder dem Stammkonto eine Konfigurationsrichtlinie zuordnen. Eine Konfigurationsrichtlinie wirkt sich auf die Heimatregion, die auch als Aggregationsregion bezeichnet wird, und auf alle verknüpften Regionen aus.

Konfigurationsrichtlinien bieten Anpassungsoptionen. Sie könnten sich beispielsweise dafür entscheiden, den Payment Card Industry Data Security Standard (PCI DSS) in einer Organisationseinheit zu deaktivieren. Für eine andere Organisationseinheit könnten Sie sich dafür entscheiden, sowohl den PCI DSS als auch den Standard SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) zu deaktivieren. Informationen zum Erstellen einer Konfigurationsrichtlinie, die einzelne von Ihnen angegebene Standards aktiviert oder deaktiviert, finden Sie unter. Konfigurationsrichtlinien erstellen und zuordnen

Wenn Sie möchten, dass einige Konten Standards für ihre eigenen Konten konfigurieren oder deaktivieren, kann der Security Hub CSPM-Administrator diese Konten als selbstverwaltete Konten kennzeichnen. Selbstverwaltete Konten müssen die Standards in jeder Region separat deaktivieren.

Deaktivierung eines Standards in einem einzelnen Konto und AWS-Region

Wenn Sie die zentrale Konfiguration nicht verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie keine Konfigurationsrichtlinien verwenden, um Sicherheitsstandards in mehreren Konten zentral zu deaktivieren oder. AWS-Regionen Sie können jedoch einen Standard für ein einzelnes Konto und eine Region deaktivieren. Sie können dies mithilfe der Security Hub CSPM-Konsole oder der Security Hub CSPM-API tun.

Security Hub CSPM console

Gehen Sie wie folgt vor, um einen Standard in einem Konto und einer Region mithilfe der Security Hub CSPM-Konsole zu deaktivieren.

Um einen Standard in einem Konto und einer Region zu deaktivieren

1. Öffnen Sie die AWS Security Hub Cloud Security Posture Management (CSPM) -Konsole unter. https://console.aws.amazon.com/securityhub/

2. Wählen Sie mithilfe der AWS-Region Auswahltaste in der oberen rechten Ecke der Seite die Region aus, in der Sie den Standard deaktivieren möchten.

3. Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus.

4. Wählen Sie im Abschnitt für den Standard, den Sie deaktivieren möchten, die Option Standard deaktivieren aus.

Um den Standard in weiteren Regionen zu deaktivieren, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

Security Hub CSPM API

Verwenden Sie den Vorgang, um einen Standard programmgesteuert in einem einzelnen Konto und einer Region zu deaktivieren. BatchDisableStandards Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den batch-disable-standardsBefehl aus.

Verwenden Sie in Ihrer Anfrage den StandardsSubscriptionArns Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, den Sie deaktivieren möchten. Wenn Sie den verwenden AWS CLI, verwenden Sie den standards-subscription-arns Parameter, um den ARN anzugeben. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Mit dem folgenden Befehl wird beispielsweise der FSBP-Standard ( AWS Foundational Security Best Practices) für ein Konto () deaktiviert: 123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

Wo arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 ist der ARN des FSBP-Standards für das Konto in der Region USA Ost (Nord-Virginia), und us-east-1 ist die Region, in der es deaktiviert werden soll.

Um den ARN für einen Standard zu erhalten, können Sie die GetEnabledStandardsOperation verwenden. Bei diesem Vorgang werden Informationen zu den Standards abgerufen, die derzeit in Ihrem Konto aktiviert sind. Wenn Sie den verwenden AWS CLI, können Sie den get-enabled-standardsBefehl ausführen, um diese Informationen abzurufen.

Nachdem Sie einen Standard deaktiviert haben, beginnt Security Hub CSPM mit der Ausführung von Aufgaben zur Deaktivierung des Standards im Konto und in der angegebenen Region. Dies beinhaltet die Deaktivierung aller Kontrollen, die für den Standard gelten. Um den Status dieser Aufgaben zu überwachen, können Sie den Status des Standards für das Konto und die Region überprüfen.