Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Désactivation d'une norme de sécurité

Lorsque vous désactivez une norme de sécurité dans AWS Security Hub Cloud Security Posture Management (CSPM), les événements suivants se produisent :

La suppression des AWS Config règles appropriées intervient généralement quelques minutes après la désactivation d'une norme. Toutefois, cela peut prendre plus de temps. Si la première demande ne parvient pas à supprimer les règles, Security Hub CSPM réessaie toutes les 12 heures. Toutefois, si vous avez désactivé Security Hub CSPM ou si aucune autre norme n'est activée, Security Hub CSPM ne peut pas réessayer, ce qui signifie qu'il ne peut pas supprimer les règles. Si cela se produit et que vous devez supprimer les règles, contactez AWS Support.

Désactiver une norme dans plusieurs comptes et Régions AWS

Pour désactiver une norme de sécurité sur plusieurs comptes Régions AWS, utilisez la configuration centralisée. Grâce à la configuration centralisée, l'administrateur délégué de Security Hub CSPM peut créer des politiques de configuration Security Hub CSPM qui désactivent une ou plusieurs normes. L'administrateur peut ensuite associer une politique de configuration à des comptes individuels, à des unités organisationnelles (OUs) ou à la racine. Une politique de configuration affecte la région d'origine, également appelée région d'agrégation, et toutes les régions liées.

Les politiques de configuration proposent des options de personnalisation. Par exemple, vous pouvez choisir de désactiver la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) dans une unité d'organisation. Pour une autre unité d'organisation, vous pouvez choisir de désactiver à la fois la norme PCI DSS et la norme SP 800-53 Rev. 5 du National Institute of Standards and Technology (NIST). Pour plus d'informations sur la création d'une politique de configuration qui active ou désactive les normes individuelles que vous spécifiez, consultezCréation et association de politiques de configuration.

Si vous souhaitez que certains comptes configurent ou désactivent les normes pour leurs propres comptes, l'administrateur du Security Hub CSPM peut désigner ces comptes comme des comptes autogérés. Les comptes autogérés doivent désactiver les normes séparément dans chaque région.

Désactiver une norme dans un seul compte et Région AWS

Si vous n'utilisez pas de configuration centralisée ou si vous possédez un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour désactiver de manière centralisée les normes de sécurité dans plusieurs comptes ou Régions AWS. Cependant, vous pouvez désactiver une norme dans un seul compte et dans une seule région. Vous pouvez le faire à l'aide de la console Security Hub CSPM ou de l'API Security Hub CSPM.

Security Hub CSPM console

Procédez comme suit pour désactiver une norme dans un compte et une région à l'aide de la console Security Hub CSPM.

Pour désactiver une norme dans un compte et une région

1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez désactiver la norme.

3. Dans le volet de navigation, sélectionnez Normes de sécurité.

4. Dans la section correspondant à la norme que vous souhaitez désactiver, choisissez Désactiver la norme.

Pour désactiver la norme dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

Security Hub CSPM API

Pour désactiver une norme par programmation dans un seul compte et une seule région, utilisez l'BatchDisableStandardsopération. Ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la batch-disable-standardscommande.

Dans votre demande, utilisez le StandardsSubscriptionArns paramètre pour spécifier le nom de ressource Amazon (ARN) de la norme que vous souhaitez désactiver. Si vous utilisez le AWS CLI, utilisez le standards-subscription-arns paramètre pour spécifier l'ARN. Spécifiez également la région à laquelle s'applique votre demande. Par exemple, la commande suivante désactive la norme FSBP ( AWS Foundational Security Best Practices) pour un compte () : 123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

Où se arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 trouve l'ARN de la norme FSBP pour le compte dans la région USA Est (Virginie du Nord) et us-east-1 dans quelle région le désactiver ?

Pour obtenir l'ARN d'une norme, vous pouvez utiliser l'GetEnabledStandardsopération. Cette opération permet de récupérer des informations sur les normes actuellement activées dans votre compte. Si vous utilisez le AWS CLI, vous pouvez exécuter la get-enabled-standardscommande pour récupérer ces informations.

Après avoir désactivé une norme, Security Hub CSPM commence à effectuer des tâches pour désactiver la norme dans le compte et dans la région spécifiée. Cela inclut la désactivation de toutes les commandes qui s'appliquent à la norme. Pour suivre l'état de ces tâches, vous pouvez vérifier l'état de la norme pour le compte et la région.