Dissociazione di una configurazione dai suoi obiettivi - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dissociazione di una configurazione dai suoi obiettivi

Dall'account amministratore delegato di AWS Security Hub Cloud Security Posture Management (CSPM), è possibile dissociare una policy di configurazione o una configurazione autogestita da un account, un'unità organizzativa o una radice. La disassociazione mantiene la politica per usi futuri, ma rimuove le associazioni esistenti da account specifici o dalla radice. È possibile dissociare solo una configurazione applicata direttamente OUs, non una configurazione ereditata. Per modificare una configurazione ereditata, è possibile applicare una politica di configurazione o un comportamento autogestito all'account o all'unità organizzativa interessati. È inoltre possibile applicare una nuova politica di configurazione, che include le modifiche desiderate, al genitore più vicino.

La disassociazione non elimina una politica di configurazione. La politica viene mantenuta nel tuo account, quindi puoi associarla ad altri obiettivi della tua organizzazione. Per istruzioni sull'eliminazione di una politica di configurazione, consulta. Eliminazione dei criteri di configurazione Una volta completata la dissociazione, l'obiettivo interessato eredita la politica di configurazione o il comportamento autogestito del genitore più vicino. Se non esiste una configurazione ereditabile, una destinazione mantiene le impostazioni che aveva prima della disassociazione ma viene gestita automaticamente.

Scegli il metodo preferito e segui i passaggi per dissociare un account, un'unità organizzativa o un utente root dalla configurazione corrente.

Console
Per dissociare un account o un'unità organizzativa dalla configurazione corrente

  1. Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/

    Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

  3. Nella scheda Organizations, seleziona l'account, l'unità organizzativa o la radice che desideri dissociare dalla configurazione corrente. Scegli Modifica.

  4. Nella pagina Definisci configurazione, per Gestione, scegli Politica applicata se desideri che l'amministratore delegato sia in grado di applicare le politiche direttamente alla destinazione. Scegli Inherited se desideri che la destinazione erediti la configurazione del suo elemento principale più vicino. In entrambi i casi, l'amministratore delegato controlla le impostazioni per la destinazione. Scegli Autogestito se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni.

  5. Dopo aver esaminato le modifiche, scegli Avanti e Applica. Questa azione sostituisce le configurazioni esistenti di qualsiasi account o OUs che rientrano nell'ambito, se tali configurazioni sono in conflitto con le selezioni correnti.

API
Per dissociare un account o un'unità organizzativa dalla configurazione corrente

  1. Richiama l'StartConfigurationPolicyDisassociationAPI dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

  2. PerConfigurationPolicyIdentifier, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione da cui desideri dissociare. Inserisci questo campo SELF_MANAGED_SECURITY_HUB per dissociare il comportamento autogestito.

  3. PerTarget, fornisci gli account o la radice che desideri separare da questa politica di configurazione. OUs

Esempio di richiesta API per dissociare una politica di configurazione:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
AWS CLI
Per dissociare un account o un'unità organizzativa dalla configurazione corrente

  1. Esegui il start-configuration-policy-disassociationcomando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

  2. Perconfiguration-policy-identifier, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione da cui desideri dissociare. Inserisci questo campo SELF_MANAGED_SECURITY_HUB per dissociare il comportamento autogestito.

  3. Pertarget, fornisci gli account o la radice che desideri separare da questa politica di configurazione. OUs

Esempio di comando per dissociare una politica di configurazione:

aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'