Actualización de las políticas de configuración

Tras crear una política de configuración, la cuenta de administrador delegada de AWS Security Hub Cloud Security Posture Management (CSPM) puede actualizar los detalles de la política y las asociaciones de políticas. Cuando se actualizan los detalles de la política, las cuentas asociadas a la política de configuración comienzan a utilizar de manera automática la política actualizada.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte Descripción de la configuración central en Security Hub (CSPM).

El administrador delegado puede actualizar los siguientes ajustes de la política:

Activa o desactiva Security Hub CSPM.
Habilite uno o más estándares de seguridad.
Indique qué controles de seguridad están habilitados en todos los estándares habilitados. Para ello, puede proporcionar una lista de controles específicos que deberían estar habilitados, y Security Hub CSPM deshabilita todos los demás controles, incluidos los nuevos cuando se lanzan. Como alternativa, puede proporcionar una lista de controles específicos que deberían deshabilitarse y Security Hub CSPM habilitará todos los demás controles, incluidos los controles nuevos cuando se publiquen.
Si lo desea, personalice parámetros de ciertos controles habilitados en los estándares habilitados.

Elija su método preferido y siga estos pasos para actualizar una política de configuración.

nota

Si usa la configuración central, Security Hub CSPM deshabilita automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar las búsquedas de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.

Si un control habilitado que implica recursos globales no es compatible en la región de origen, Security Hub CSPM intenta habilitar el control en una región vinculada en la que se admita el control. Con la configuración central, no hay cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas.

Para obtener una lista de los controles que implican recursos globales, consulte Controles que utilizan recursos globales.

Console

Actualización de las políticas de configuración

Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

Inicie sesión con las credenciales de la cuenta de administrador CSPM de Security Hub delegada en la región de origen.
En el panel de navegación, seleccione Configuración y Configuración.
Elija la pestaña Policies.
Seleccione la política de configuración que desea modificar y elija Editar. Si lo desea, edite la configuración de la política. Deje esta sección como está si desea mantener la configuración de la política sin cambios.
Seleccione Siguiente. Si lo desea, edite las asociaciones de políticas. Deje esta sección como está si desea mantener las asociaciones de políticas sin cambios. Puede asociar o desasociar la política a un máximo de 15 destinos (cuentas o root) al actualizarla. OUs
Elija Siguiente.
Revise los cambios y seleccione Guardar y aplicar. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a una política de configuración mediante una aplicación o la herencia de un nodo principal.

API

Actualización de las políticas de configuración

Para actualizar los ajustes de una política de configuración, invoque la UpdateConfigurationPolicyAPI desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.
Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea actualizar.
Proporcione valores actualizados para los campos de ConfigurationPolicy. También tiene la opción de indicar el motivo de la actualización.
Para añadir nuevas asociaciones para esta política de configuración, invoque la StartConfigurationPolicyAssociationAPI desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen. Para eliminar una o más asociaciones actuales, invoque la StartConfigurationPolicyDisassociationAPI desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.
En el campo ConfigurationPolicyIdentifier, indique el ARN o el ID de la política de configuración cuyas asociaciones desee actualizar.
Para el Target campo, proporcione las cuentas o el ID raíz que desee asociar o desasociar. OUs Esta acción anula las asociaciones de políticas anteriores para las cuentas OUs o cuentas especificadas.

nota

Al invocar la UpdateConfigurationPolicy API, Security Hub CSPM sustituye por una lista completa los camposEnabledStandardIdentifiers, EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers, y. SecurityControlCustomParameters Cada vez que invoque esta API, proporcione la lista completa de estándares que desee habilitar y la lista completa de controles que desee habilitar o deshabilitar y para los que desee personalizar los parámetros.

Ejemplo de solicitud de API para actualizar una política de configuración:


{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

AWS CLI

Actualización de las políticas de configuración

Para actualizar los ajustes de una política de configuración, ejecute el update-configuration-policycomando desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.
Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea actualizar.
Proporcione valores actualizados para los campos de configuration-policy. También tiene la opción de indicar el motivo de la actualización.
Para añadir nuevas asociaciones para esta política de configuración, ejecute el start-configuration-policy-associationcomando desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen. Para eliminar una o más asociaciones actuales, ejecute el start-configuration-policy-disassociationcomando desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.
En el campo configuration-policy-identifier, indique el ARN o el ID de la política de configuración cuyas asociaciones desee actualizar.
Para el target campo, proporcione las cuentas o el ID raíz que desee asociar o desasociar. OUs Esta acción anula las asociaciones de políticas anteriores para las cuentas OUs o cuentas especificadas.

nota

Al ejecutar el update-configuration-policy comando, Security Hub CSPM reemplaza la lista completa de los camposEnabledStandardIdentifiers, EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers, ySecurityControlCustomParameters. Cada vez que ejecute este comando, proporcione la lista completa de estándares que desee habilitar y la lista completa de controles que desee habilitar o deshabilitar y para los que desee personalizar los parámetros.

Ejemplo de comando para actualizar una política de configuración:


aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

La API StartConfigurationPolicyAssociation devuelve un campo llamado AssociationStatus. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de PENDING a SUCCESS o FAILURE. Para obtener más información sobre el estado de una asociación, consulte Revisión del estado de asociación de una política de configuración.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Revisar el estado y los detalles de las políticas de configuración

Eliminación de políticas de configuración