Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Norme de gestion des services : AWS Control Tower

Cette section fournit des informations sur Service-Managed Standard :. AWS Control Tower

Qu'est-ce que Service-Managed Standard : ? AWS Control Tower

Norme gérée par les services : AWS Control Tower norme gérée par les services qui AWS Control Tower gère et prend en charge un sous-ensemble de contrôles Security Hub. Cette norme est conçue pour les utilisateurs de AWS Security Hub CSPM et. AWS Control Tower Il vous permet de configurer les contrôles de détection du Security Hub CSPM à partir du AWS Control Tower service.

Les contrôles Detective détectent la non-conformité des ressources (par exemple, les erreurs de configuration) au sein de votre. Comptes AWS

Lorsque vous activez un contrôle Security Hub CSPM viaAWS Control Tower, Control Tower active également le Security Hub CSPM pour vous dans ces comptes et régions spécifiques, s'il n'est pas déjà activé. Dans la console et l'API Security Hub CSPM, vous pouvez consulter Service-Managed Standard : ainsi que les autres normes CSPM du AWS Control Tower Security Hub, une fois la norme activée depuis. AWS Control Tower

Pour plus d'informations sur cette norme, consultez la section Contrôles CSPM de Security Hub dans le guide de l'AWS Control Towerutilisateur.

Création de la norme

Cette norme n'est disponible dans Security Hub CSPM que si vous activez les contrôles Security Hub CSPM depuis. AWS Control Tower AWS Control Towercrée la norme lorsque vous activez pour la première fois un contrôle applicable en utilisant l'une des méthodes suivantes :

Lorsque vous activez un contrôle Security Hub CSPM viaAWS Control Tower, si vous n'avez pas encore activé Security Hub CSPM, il active également le AWS Control Tower Security Hub CSPM pour vous dans ces comptes et régions spécifiques.

Pour identifier un contrôle Security Hub CSPM par ID de contrôle dans Control Catalog, vous pouvez utiliser le champ Implementation.Identifier dans. AWS Control Tower Ce champ correspond à l'ID de contrôle Security Hub CSPM et peut être utilisé pour filtrer un ID de contrôle spécifique. Pour récupérer les métadonnées de contrôle pour un contrôle Security Hub CSPM spécifique (par exemple, « CodeBuild .1") dansAWS Control Tower, vous pouvez utiliser l'API : ListControls

aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'

Vous ne pouvez pas consulter ou accéder à cette norme dans la console Security Hub CSPM, dans l'API Security Hub CSPM, ou AWS CLI sans avoir préalablement configuré et activé les contrôles AWS Control Tower Security Hub CSPM à l'AWS Control Toweraide de l'une des méthodes précédentes.

Cette norme n'est disponible que Régions AWSlà où elle AWS Control Tower est disponible.

Activation et désactivation des commandes dans le standard

Une fois que vous avez activé les contrôles Security Hub CSPM AWS Control Tower et que le Service Managed Standard : AWS Control Tower standard a été créé, vous pouvez consulter le standard et les contrôles disponibles dans Security Hub CSPM.

Lorsque Security Hub CSPM ajoute de nouvelles commandes au Service Managed Standard : AWS Control Tower standard, elles ne sont pas automatiquement activées pour les clients qui ont activé la norme. Vous devez activer et désactiver les commandes pour le formulaire standard en AWS Control Tower utilisant l'une des méthodes suivantes :

Lorsque vous modifiez le statut d'activation d'un contrôle dansAWS Control Tower, le changement est également reflété dans Security Hub CSPM.

Cependant, la désactivation d'un contrôle activé dans Security Hub CSPM AWS Control Tower entraîne une dérive du contrôle. L'état du contrôle AWS Control Tower apparaît sous la formeDrifted. Vous pouvez résoudre cette dérive en utilisant l'ResetEnabledControlAPI pour réinitialiser le contrôle qui est en dérive, en sélectionnant Ré-enregistrer l'OU dans la AWS Control Tower console, ou en désactivant et réactivant le contrôle à l'AWS Control Toweraide de l'une des méthodes précédentes.

L'exécution des actions d'activation et de désactivation vous AWS Control Tower permet d'éviter toute dérive de contrôle.

Lorsque vous activez ou désactivez les contrôles dansAWS Control Tower, l'action s'applique à tous les comptes et régions régis parAWS Control Tower. Si vous activez et désactivez les contrôles dans Security Hub CSPM (ce n'est pas recommandé pour cette norme), l'action s'applique uniquement au compte et à la région actuels.

Affichage de l'état d'activation et de l'état du contrôle

Vous pouvez consulter le statut d'activation d'un contrôle à l'aide de l'une des méthodes suivantes :

Un contrôle que vous désactivez AWS Control Tower a le statut d'activation Disabled dans Security Hub CSPM, sauf si vous activez explicitement ce contrôle dans Security Hub CSPM.

Security Hub CSPM calcule l'état du contrôle en fonction de l'état du flux de travail et de l'état de conformité des résultats du contrôle. Pour plus d'informations sur le statut d'activation et le statut du contrôle, consultezExaminer les détails des contrôles dans Security Hub CSPM.

Sur la base des états de contrôle, Security Hub CSPM calcule un score de sécurité pour Service-Managed Standard :. AWS Control Tower Ce score n'est disponible que dans Security Hub CSPM. En outre, vous ne pouvez consulter les résultats des contrôles que dans Security Hub CSPM. Le score de sécurité standard et les résultats des contrôles ne sont pas disponibles dansAWS Control Tower.

Supprimer le standard

Vous pouvez supprimer cette norme de gestion de services en AWS Control Tower désactivant tous les contrôles applicables à l'aide de l'une des méthodes suivantes :

La désactivation de tous les contrôles supprime la norme dans tous les comptes gérés et régions gouvernées dans. AWS Control Tower La suppression du standard dans le AWS Control Tower supprime de la page Standards de la console Security Hub CSPM, et vous ne pouvez plus y accéder à l'aide de l'API Security Hub CSPM ou. AWS CLI

La désactivation du service Security Hub CSPM supprime Service-Managed Standard : AWS Control Tower et toutes les autres normes que vous avez activées.

Recherche du format de champ pour Service-Managed Standard : AWS Control Tower

Lorsque vous créez un Service Managed Standard AWS Control Tower et que vous activez les contrôles correspondants, vous commencez à recevoir les résultats des contrôles dans Security Hub CSPM. Security Hub CSPM publie les résultats des contrôles dans le. AWSFormat de recherche de sécurité (ASFF) Voici les valeurs ASFF pour le nom de ressource Amazon (ARN) de cette norme et GeneratorId :

Pour un exemple de recherche pour Service-Managed Standard :AWS Control Tower, voir. Échantillons de résultats de contrôle

Contrôles applicables à la norme de gestion des services : AWS Control Tower

Norme gérée par les services : AWS Control Tower prend en charge un sous-ensemble de contrôles qui font partie de la norme des meilleures pratiques de sécurité AWS fondamentales (FSBP). Choisissez un contrôle pour consulter les informations le concernant, y compris les étapes de correction en cas d'échec des résultats.

Pour savoir quels contrôles Security Hub CSPM sont pris en chargeAWS Control Tower, vous pouvez utiliser l'une des méthodes suivantes :

Les limites régionales des contrôles Security Hub CSPM lorsqu'ils sont activés via la norme Control Tower peuvent ne pas correspondre aux limites régionales des contrôles sous-jacents.

Dans Security Hub CSPM, si les résultats de contrôle consolidés sont désactivés dans votre compte, le ProductFields.ControlId champ des résultats générés utilise l'ID de contrôle standard. L'ID de contrôle standard est formaté au format CT. ControlId(par exemple, CT. CodeBuild.1).

Pour plus d'informations sur cette norme, consultez la section Contrôles CSPM de Security Hub dans le guide de l'AWS Control Towerutilisateur.