Création et association de politiques de configuration - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création et association de politiques de configuration

Le compte administrateur délégué AWS de Security Hub Cloud Security Posture Management (CSPM) peut créer des politiques de configuration qui spécifient la manière dont le CSPM, les normes et les contrôles Security Hub sont configurés dans des comptes et des unités organisationnelles spécifiques (). OUs Une politique de configuration ne prend effet qu'une fois que l'administrateur délégué l'a associée à au moins un compte ou une unité organisationnelle (OUs), ou à la racine. L'administrateur délégué peut également associer une configuration autogérée à des comptes ou à l'utilisateur root. OUs

Si c'est la première fois que vous créez une politique de configuration, nous vous recommandons de la vérifier d'abordFonctionnement des politiques de configuration dans Security Hub CSPM.

Choisissez votre méthode d'accès préférée et suivez les étapes pour créer et associer une politique de configuration ou une configuration autogérée. Lorsque vous utilisez la console Security Hub CSPM, vous pouvez associer une configuration à plusieurs comptes ou OUs en même temps. Lorsque vous utilisez l'API Security Hub CSPM ou AWS CLI, vous ne pouvez associer une configuration qu'à un seul compte ou unité d'organisation par demande.

Note

Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.

Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.

Pour obtenir la liste des contrôles impliquant des ressources globales, voirContrôles utilisant des ressources globales.

Security Hub CSPM console
Pour créer et associer des politiques de configuration

  1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

    Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

  2. Dans le volet de navigation, choisissez Configuration et l'onglet Politiques. Choisissez ensuite Create policy.

  3. Sur la page Configurer l'organisation, si c'est la première fois que vous créez une politique de configuration, trois options s'affichent sous Type de configuration. Si vous avez déjà créé au moins une politique de configuration, seule l'option Politique personnalisée s'affiche.

    • Choisissez Utiliser la configuration CSPM de Security Hub AWS recommandée dans l'ensemble de mon organisation pour appliquer notre politique recommandée. La politique recommandée active le Security Hub CSPM dans tous les comptes de l'organisation, applique la norme AWS Foundational Security Best Practices (FSBP) et active tous les contrôles FSBP nouveaux et existants. Les commandes utilisent les valeurs de paramètres par défaut.

    • Choisissez Je ne suis pas encore prêt à configurer pour créer une politique de configuration ultérieurement.

    • Choisissez Politique personnalisée pour créer une politique de configuration personnalisée. Spécifiez s'il faut activer ou désactiver Security Hub CSPM, les normes à activer et les contrôles à activer selon ces normes. Spécifiez éventuellement des valeurs de paramètres personnalisés pour un ou plusieurs contrôles activés qui prennent en charge les paramètres personnalisés.

  4. Dans la section Comptes, choisissez les comptes cibles ou la racine auxquels vous souhaitez que votre politique de configuration s'applique. OUs

    • Choisissez Tous les comptes si vous souhaitez appliquer la politique de configuration à la racine. Cela inclut tous les comptes et ceux OUs de l'organisation auxquels aucune autre politique n'est appliquée ou dont aucune autre politique n'est héritée.

    • Choisissez Comptes spécifiques si vous souhaitez appliquer la politique de configuration à des comptes spécifiques ou OUs. Entrez le compte IDs, ou sélectionnez les comptes et OUs depuis la structure de l'organisation. Vous pouvez appliquer la politique à un maximum de 15 cibles (comptes ou root) lorsque vous la créez. OUs Pour spécifier un nombre plus élevé, modifiez votre politique après sa création et appliquez-la à des cibles supplémentaires.

    • Choisissez L'administrateur délégué uniquement pour appliquer la politique de configuration au compte d'administrateur délégué actuel.

  5. Choisissez Suivant.

  6. Sur la page Vérifier et appliquer, passez en revue les détails de votre politique de configuration. Choisissez ensuite Créer une politique et appliquez. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à la politique de configuration par le biais d'une application ou d'un héritage d'un nœud parent. Les comptes enfants et les cibles appliquées hériteront automatiquement OUs de cette politique de configuration à moins qu'ils ne soient spécifiquement exclus, qu'ils ne soient autogérés ou qu'ils n'utilisent une politique de configuration différente.

Security Hub CSPM API
Pour créer et associer des politiques de configuration

  1. Appelez l'CreateConfigurationPolicyAPI depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.

  2. PourName, fournissez un nom unique pour la politique de configuration. FacultativementDescription, pour, fournissez une description de la politique de configuration.

  3. Pour le ServiceEnabled champ, indiquez si vous souhaitez que Security Hub CSPM soit activé ou désactivé dans cette politique de configuration.

  4. Dans le EnabledStandardIdentifiers champ, spécifiez les normes CSPM du Security Hub que vous souhaitez activer dans cette politique de configuration.

  5. Pour l'SecurityControlsConfigurationobjet, spécifiez les contrôles que vous souhaitez activer ou désactiver dans cette politique de configuration. Choisir EnabledSecurityControlIdentifiers signifie que les commandes spécifiées sont activées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont désactivés. Choisir DisabledSecurityControlIdentifiers signifie que les commandes spécifiées sont désactivées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont activés.

  6. Spécifiez éventuellement les contrôles activés pour le SecurityControlCustomParameters champ dont vous souhaitez personnaliser les paramètres. Indiquez CUSTOM le ValueType champ et la valeur du paramètre personnalisé pour le Value champ. La valeur doit correspondre au type de données correct et se situer dans les plages valides spécifiées par Security Hub CSPM. Seules certaines commandes prennent en charge les valeurs de paramètres personnalisées. Pour de plus amples informations, veuillez consulter Comprendre les paramètres de contrôle dans Security Hub CSPM.

  7. Pour appliquer votre politique de configuration aux comptes ou OUs pour appeler l'StartConfigurationPolicyAssociationAPI depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine.

  8. Pour le ConfigurationPolicyIdentifier champ, indiquez le nom de ressource Amazon (ARN) ou l'identifiant unique universel (UUID) de la politique. L'ARN et l'UUID sont renvoyés par l'CreateConfigurationPolicyAPI. Pour une configuration autogérée, le ConfigurationPolicyIdentifier champ est égal àSELF_MANAGED_SECURITY_HUB.

  9. Pour le Target champ, indiquez l'unité d'organisation, le compte ou l'ID racine auquel vous souhaitez que cette politique de configuration s'applique. Vous ne pouvez fournir qu'une seule cible par demande d'API. Les comptes enfants et ceux OUs de la cible sélectionnée hériteront automatiquement de cette politique de configuration à moins qu'ils ne soient autogérés ou qu'ils n'utilisent une politique de configuration différente.

Exemple de demande d'API pour créer une politique de configuration :

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Exemple de demande d'API pour associer une politique de configuration :

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Pour créer et associer des politiques de configuration

  1. Exécutez la create-configuration-policycommande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

  2. Pourname, fournissez un nom unique pour la politique de configuration. Facultativementdescription, pour, fournissez une description de la politique de configuration.

  3. Pour le ServiceEnabled champ, indiquez si vous souhaitez que Security Hub CSPM soit activé ou désactivé dans cette politique de configuration.

  4. Dans le EnabledStandardIdentifiers champ, spécifiez les normes CSPM du Security Hub que vous souhaitez activer dans cette politique de configuration.

  5. Pour le SecurityControlsConfiguration champ, spécifiez les contrôles que vous souhaitez activer ou désactiver dans cette politique de configuration. Choisir EnabledSecurityControlIdentifiers signifie que les commandes spécifiées sont activées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont désactivés. Choisir DisabledSecurityControlIdentifiers signifie que les commandes spécifiées sont désactivées. Les autres contrôles qui s'appliquent à vos normes activées (y compris les contrôles récemment publiés) sont activés.

  6. Spécifiez éventuellement les contrôles activés pour le SecurityControlCustomParameters champ dont vous souhaitez personnaliser les paramètres. Indiquez CUSTOM le ValueType champ et la valeur du paramètre personnalisé pour le Value champ. La valeur doit correspondre au type de données correct et se situer dans les plages valides spécifiées par Security Hub CSPM. Seules certaines commandes prennent en charge les valeurs de paramètres personnalisées. Pour de plus amples informations, veuillez consulter Comprendre les paramètres de contrôle dans Security Hub CSPM.

  7. Pour appliquer votre politique de configuration aux comptes ou OUs exécutez la start-configuration-policy-associationcommande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

  8. Pour le configuration-policy-identifier champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration. Cet ARN et cet ID sont renvoyés par la create-configuration-policy commande.

  9. Pour le target champ, indiquez l'unité d'organisation, le compte ou l'ID racine auquel vous souhaitez que cette politique de configuration s'applique. Vous ne pouvez fournir qu'une seule cible à chaque fois que vous exécutez la commande. Les enfants de la cible sélectionnée hériteront automatiquement de cette politique de configuration à moins qu'ils ne soient autogérés ou qu'ils n'utilisent une stratégie de configuration différente.

Exemple de commande pour créer une politique de configuration :

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Exemple de commande pour associer une politique de configuration :

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

L'StartConfigurationPolicyAssociationAPI renvoie un champ appeléAssociationStatus. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage du statut à SUCCESS ou peut prendre jusqu'à 24 heuresFAILURE. PENDING Pour plus d'informations sur le statut de l'association, consultezRévision du statut d'association d'une politique de configuration.