Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Standar yang Dikelola Layanan: AWS Control Tower
Bagian ini memberikan informasi tentang Standar yang Dikelola Layanan:. AWS Control Tower
Apa itu Standar yang Dikelola Layanan:? AWS Control Tower
Service-Managed Standard: AWS Control Tower adalah standar yang dikelola layanan yang AWS Control Tower mengelola yang mendukung subset kontrol Security Hub. Standar ini dirancang untuk pengguna AWS Security Hub CSPM dan. AWS Control Tower Ini memungkinkan Anda mengonfigurasi kontrol detektif Security Hub CSPM dari layanan. AWS Control Tower
Kontrol Detektif mendeteksi ketidakpatuhan sumber daya (misalnya, kesalahan konfigurasi) di dalam Anda. Akun AWS
Tip
Standar yang dikelola layanan berbeda dari standar yang dikelola AWS Security Hub CSPM. Misalnya, Anda harus membuat dan menghapus standar yang dikelola layanan di layanan pengelolaan. Untuk informasi selengkapnya, lihat Standar yang dikelola layanan di Security Hub CSPM.
Saat Anda mengaktifkan kontrol CSPM Security HubAWS Control Tower, Control Tower juga mengaktifkan CSPM Security Hub untuk Anda di akun dan Wilayah tertentu tersebut, jika belum diaktifkan. Di konsol CSPM Security Hub dan API, Anda dapat melihat Standar yang Dikelola Layanan: AWS Control Tower bersama standar CSPM Security Hub lainnya, setelah standar diaktifkan. AWS Control Tower
Untuk informasi selengkapnya tentang standar ini, lihat Kontrol CSPM Security Hub di AWS Control TowerPanduan Pengguna.
Menciptakan standar
Standar ini tersedia di Security Hub CSPM hanya jika Anda mengaktifkan kontrol CSPM Security Hub. AWS Control Tower AWS Control Towermembuat standar saat Anda pertama kali mengaktifkan kontrol yang berlaku dengan menggunakan salah satu metode berikut:
-
AWS Control Towerkonsol
-
AWS Control TowerAPI (panggil
EnableControlAPI) -
AWS CLI(jalankan
enable-controlperintah)
Saat Anda mengaktifkan kontrol CSPM Security HubAWS Control Tower, jika Anda belum mengaktifkan Security Hub CSPM, juga mengaktifkan CSPM AWS Control Tower Security Hub untuk Anda di akun dan Wilayah tertentu tersebut.
Untuk mengidentifikasi kontrol CSPM Security Hub dengan ID kontrol di Katalog Kontrol, Anda dapat menggunakan bidang Implementation.Identifier di. AWS Control Tower Bidang ini memetakan ke ID kontrol CSPM Security Hub dan dapat digunakan untuk memfilter ID kontrol tertentu. Untuk mengambil metadata kontrol untuk kontrol CSPM Security Hub tertentu (misalnya, "CodeBuild.1") diAWS Control Tower, Anda dapat menggunakan API: ListControls
aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'
Anda tidak dapat melihat atau mengakses standar ini di konsol CSPM Security Hub, Security Hub CSPM API, atau AWS CLI tanpa terlebih dahulu menyiapkan dan AWS Control Tower mengaktifkan kontrol CSPM Security Hub AWS Control Tower dari menggunakan salah satu metode sebelumnya.
Standar ini hanya tersedia di Wilayah AWStempat AWS Control Tower yang tersedia.
Mengaktifkan dan menonaktifkan kontrol dalam standar
Setelah mengaktifkan kontrol CSPM Security Hub AWS Control Tower dan Standar yang Dikelola Layanan: AWS Control Tower standar telah dibuat, Anda dapat melihat standar dan kontrol yang tersedia di CSPM Security Hub.
Ketika Security Hub CSPM menambahkan kontrol baru ke standar Service-Managed AWS Control Tower Standard:, kontrol tersebut tidak diaktifkan secara otomatis untuk pelanggan yang memiliki standar yang diaktifkan. Anda harus mengaktifkan dan menonaktifkan kontrol untuk standar dari AWS Control Tower dengan menggunakan salah satu metode berikut:
-
AWS Control Towerkonsol
-
AWS Control TowerAPI (panggil
EnableControldanDisableControlAPIs) -
AWS CLI(jalankan
enable-controldandisable-controlperintah)
Saat Anda mengubah status pengaktifan kontrolAWS Control Tower, perubahan tersebut juga tercermin dalam Security Hub CSPM.
Namun, menonaktifkan kontrol di Security Hub CSPM yang diaktifkan AWS Control Tower menghasilkan penyimpangan kontrol. Status kontrol di AWS Control Tower menunjukkan sebagaiDrifted. Anda dapat mengatasi penyimpangan ini dengan menggunakan ResetEnabledControlAPI untuk mengatur ulang kontrol yang ada di drift, atau dengan memilih Registrasi ulang OU di AWS Control Tower konsol, atau dengan menonaktifkan dan mengaktifkan kembali kontrol dalam AWS Control Tower menggunakan salah satu metode sebelumnya.
Menyelesaikan tindakan pemberdayaan dan penonaktifan AWS Control Tower membantu Anda menghindari penyimpangan kontrol.
Saat Anda mengaktifkan atau menonaktifkan kontrolAWS Control Tower, tindakan akan berlaku di seluruh akun dan Wilayah yang diatur olehAWS Control Tower. Jika Anda mengaktifkan dan menonaktifkan kontrol di Security Hub CSPM (tidak disarankan untuk standar ini), tindakan hanya berlaku untuk akun dan wilayah saat ini.
catatan
Konfigurasi pusat tidak dapat digunakan untuk mengelola Standar yang Dikelola Layanan:. AWS Control Tower Anda hanya dapat menggunakan AWS Control Tower layanan untuk mengaktifkan dan menonaktifkan kontrol dalam standar ini.
Melihat status pemberdayaan dan status kontrol
Anda dapat melihat status pemberdayaan kontrol dengan menggunakan salah satu metode berikut:
-
Konsol CSPM Security Hub, Security Hub CSPM API, atau AWS CLI
-
AWS Control Towerkonsol
-
AWS Control TowerAPI untuk melihat daftar kontrol yang diaktifkan (panggil
ListEnabledControlsAPI) -
AWS CLIuntuk melihat daftar kontrol yang diaktifkan (jalankan
list-enabled-controlsperintah)
Kontrol yang Anda nonaktifkan AWS Control Tower memiliki status pengaktifan Disabled di Security Hub CSPM kecuali Anda secara eksplisit mengaktifkan kontrol tersebut di Security Hub CSPM.
Security Hub CSPM menghitung status kontrol berdasarkan status alur kerja dan status kepatuhan temuan kontrol. Untuk informasi selengkapnya tentang status pemberdayaan dan status kontrol, lihatMeninjau rincian kontrol di Security Hub CSPM.
Berdasarkan status kontrol, Security Hub CSPM menghitung skor keamanan untuk Service-Managed Standard:. AWS Control Tower Skor ini hanya tersedia di Security Hub CSPM. Selain itu, Anda hanya dapat melihat temuan kontrol di Security Hub CSPM. Skor keamanan standar dan temuan kontrol tidak tersedia diAWS Control Tower.
catatan
Saat Anda mengaktifkan kontrol untuk Standar yang Dikelola Layanan:AWS Control Tower, CSPM Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan terkait layanan yang ada. AWS Config Anda mungkin memiliki aturan terkait layanan yang ada jika Anda telah mengaktifkan standar dan kontrol lain di CSPM Security Hub. Untuk informasi selengkapnya, lihat Jadwal untuk menjalankan pemeriksaan keamanan.
Menghapus standar
Anda dapat menghapus standar terkelola layanan ini AWS Control Tower dengan menonaktifkan semua kontrol yang berlaku menggunakan salah satu metode berikut:
-
AWS Control Towerkonsol
-
AWS Control TowerAPI (panggil
DisableControlAPI) -
AWS CLI(jalankan
disable-controlperintah)
Menonaktifkan semua kontrol akan menghapus standar di semua akun terkelola dan Wilayah yang diatur di. AWS Control Tower Menghapus standar di AWS Control Tower menghapusnya dari halaman Standar konsol CSPM Security Hub, dan Anda tidak dapat lagi mengaksesnya dengan menggunakan Security Hub CSPM API atau. AWS CLI
catatan
Menonaktifkan semua kontrol dari standar di Security Hub CSPM tidak menonaktifkan atau menghapus standar.
Menonaktifkan layanan CSPM Security Hub akan menghapus Standar yang Dikelola Layanan: AWS Control Tower dan standar lain yang telah Anda aktifkan.
Menemukan format bidang untuk Standar yang Dikelola Layanan: AWS Control Tower
Ketika Anda membuat Service-Managed Standard: AWS Control Tower dan mengaktifkan kontrol untuk itu, Anda akan mulai menerima temuan kontrol di Security Hub CSPM. Security Hub CSPM melaporkan temuan kontrol di. AWSFormat Pencarian Keamanan (ASFF) Ini adalah nilai ASFF untuk Amazon Resource Name (ARN) standar ini dan: GeneratorId
-
ARN standar —
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
Untuk contoh temuan Standar yang Dikelola Layanan:AWS Control Tower, lihat. Sampel temuan kontrol
Kontrol yang berlaku untuk Standar yang Dikelola Layanan: AWS Control Tower
Service-Managed Standard: AWS Control Tower mendukung subset kontrol yang merupakan bagian dari standar AWS Foundational Security Best Practices (FSBP). Pilih kontrol untuk melihat informasi tentangnya, termasuk langkah-langkah remediasi untuk temuan yang gagal.
Untuk melihat kontrol CSPM Security Hub yang didukungAWS Control Tower, Anda dapat menggunakan salah satu metode berikut:
-
AWSKonsol Control Catalog tempat Anda dapat memfilter
“Control owner =AWSSecurity Hub” -
AWSControl Catalog API (panggil
ListControlsAPI) dengan filterImplementationsuntukTypesmemeriksanyaAWS::SecurityHub::SecurityControl -
AWS CLI(jalankan
list-controlsperintah) dengan filter untukImplementations. Contoh perintah CLI:aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'
Batas regional pada kontrol CSPM Security Hub saat diaktifkan melalui standar Control Tower mungkin tidak sesuai dengan batas Regional pada kontrol yang mendasarinya.
Di Security Hub CSPM, jika temuan kontrol konsolidasi dimatikan di akun Anda, ProductFields.ControlId bidang dalam temuan yang dihasilkan menggunakan ID kontrol berbasis standar. ID kontrol berbasis standar diformat sebagai CT. ControlId(misalnya, CT. CodeBuild.1).
Untuk informasi selengkapnya tentang standar ini, lihat Kontrol CSPM Security Hub di AWS Control TowerPanduan Pengguna.
