Exclusão de políticas de configuração - AWS Security Hub

Exclusão de políticas de configuração

Após criar uma política de configuração, o administrador delegado do CSPM do AWS Security Hub pode excluí-la. Ou então, o administrador delegado pode reter a política de configuração, mas desassociá-la de contas ou unidades organizacionais (UOs) específicas. Para obter instruções para desassociar uma política, consulte Desassociar uma configuração dos seus alvos.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Noções básicas sobre a configuração central no CSPM do Security Hub.

Esta seção explica como excluir políticas de configuração.

Quando você exclui uma política de configuração, ela deixa de existir para sua organização. As contas de destino, UOs e a raiz da organização não poderão mais usar a política de configuração. Os destinos associados a uma política de configuração excluída herdam a política de configuração do pai mais próximo ou se tornam autogerenciados se o pai mais próximo for autogerenciado. Se quiser que um destino use uma configuração diferente, é possível associar o destino a uma nova política de configuração. Para obter mais informações, consulte Criação e associação de políticas de configuração.

Recomendamos criar e associar pelo menos uma política de configuração à sua organização para fornecer cobertura de segurança adequada.

Antes de excluir uma política de configuração, é necessário desassociá-la de todas as contas, UOs ou da raiz a que ela se aplica atualmente.

Escolha seu método preferido e siga as etapas para excluir uma política de configuração.

Console
Para excluir uma política de configuração

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas. Selecione a política de configuração que você deseja excluir e, em seguida, escolha Excluir. Se a política de configuração ainda estiver associada a contas ou UOs, você será solicitado a primeiro desassociar a política desses destinos antes de excluí-la.

  4. Revise a mensagem de confirmação. Insira confirm e escolha Excluir.

API

Para excluir uma política de configuração

Invoque a API DeleteConfigurationPolicy a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja excluir. Se você receber um erro ConflictException, a política de configuração ainda se aplicará às contas ou UOs em sua organização. Para resolver o erro, desassocie a política de configuração dessas contas ou UOs antes de tentar excluí-la.

Exemplo de solicitação de API para excluir uma política de configuração:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
AWS CLI

Para excluir uma política de configuração

Execute o comando delete-configuration-policy a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja excluir. Se você receber um erro ConflictException, a política de configuração ainda se aplicará às contas ou UOs em sua organização. Para resolver o erro, desassocie a política de configuração dessas contas ou UOs antes de tentar excluí-la.

aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"