Permettre un contrôle sur l'ensemble des normes - AWS Security Hub
Activation multistandard dans des environnements multicomptes et multirégionauxActivation multistandard dans un seul compte et dans une région

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Permettre un contrôle sur l'ensemble des normes

Nous recommandons d'activer un contrôle AWS Security Hub Cloud Security Posture Management (CSPM) pour toutes les normes auxquelles le contrôle s'applique. Si vous activez les résultats de contrôle consolidés, vous recevez un résultat par contrôle, même si un contrôle appartient à plusieurs normes.

Activation multistandard dans des environnements multicomptes et multirégionaux

Pour activer un contrôle de sécurité sur plusieurs Comptes AWS et Régions AWS, vous devez être connecté au compte administrateur délégué du Security Hub CSPM et utiliser la configuration centralisée.

Dans le cadre de la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration Security Hub CSPM qui permettent des contrôles spécifiques selon les normes activées. Vous pouvez ensuite associer la politique de configuration à des comptes et unités organisationnelles spécifiques (OUs) ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.

Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir d'activer tous les contrôles dans une unité d'organisation, et vous pouvez choisir d'activer uniquement les contrôles Amazon Elastic Compute Cloud (EC2) dans une autre unité d'organisation. Le niveau de granularité dépend des objectifs que vous vous êtes fixés en matière de couverture de sécurité au sein de votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui active des contrôles spécifiques entre les normes, voirCréation et association de politiques de configuration.

Note

L'administrateur délégué peut créer des politiques de configuration pour gérer les contrôles dans toutes les normes, à l'exception de la norme de gestion des services :. AWS Control Tower Les contrôles de cette norme doivent être configurés dans le AWS Control Tower service.

Si vous souhaitez que certains comptes configurent leurs propres contrôles plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les contrôles séparément dans chaque région.

Activation multistandard dans un seul compte et dans une région

Si vous n'utilisez pas de configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour activer les contrôles de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez suivre les étapes suivantes pour activer un contrôle dans un seul compte et une seule région.

Security Hub CSPM console
Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région

  1. Ouvrez la console AWS Security Hub Cloud Security Posture Management (CSPM) à l'adresse. https://console.aws.amazon.com/securityhub/

  2. Choisissez Controls dans le volet de navigation.

  3. Choisissez l'onglet Désactivé.

  4. Choisissez l'option située à côté d'un contrôle.

  5. Choisissez Activer le contrôle (cette option n'apparaît pas pour un contrôle déjà activé).

  6. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.

Security Hub CSPM API
Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région

  1. Appelez l'ListStandardsControlAssociationsAPI. Fournissez un identifiant de contrôle de sécurité.

    Exemple de demande :

    {
    "SecurityControlId": "IAM.1"
}

  2. Appelez l'BatchUpdateStandardsControlAssociationsAPI. Indiquez le nom de ressource Amazon (ARN) de toutes les normes dans lesquelles le contrôle n'est pas activé. Pour obtenir le standard ARNs, exécutez DescribeStandards.

  3. Définissez le AssociationStatus paramètre égal àENABLED. Si vous suivez ces étapes pour un contrôle déjà activé, l'API renvoie une réponse au code d'état HTTP 200.

    Exemple de demande :

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.

AWS CLI
Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région

  1. Exécutez la commande list-standards-control-associations. Fournissez un identifiant de contrôle de sécurité.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Exécutez la commande batch-update-standards-control-associations. Indiquez le nom de ressource Amazon (ARN) de toutes les normes dans lesquelles le contrôle n'est pas activé. Pour obtenir le standard ARNs, exécutez la describe-standards commande.

  3. Définissez le AssociationStatus paramètre égal àENABLED. Si vous suivez ces étapes pour un contrôle déjà activé, la commande renvoie une réponse de code d'état HTTP 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.