Desassociar uma configuração dos seus alvos - AWS Security Hub

Desassociar uma configuração dos seus alvos

Na conta do administrador delegado do CSPM do AWS Security Hub, é possível desassociar uma política de configuração ou uma configuração autogerenciada de uma conta, de uma UO ou da raiz. A desassociação retém a política para uso futuro, mas remove as associações existentes de contas e UOs específicas ou da raiz. Você só pode desassociar uma configuração aplicada diretamente, não uma configuração herdada. Para alterar uma configuração herdada, é possível aplicar uma política de configuração ou um comportamento autogerenciado à conta ou UO afetada. Também é possível aplicar uma nova política de configuração, que inclua as modificações desejadas, ao pai mais próximo.

A desassociação não exclui uma política de configuração. A política é retida em sua conta, para que você possa associá-la a outras metas em sua organização. Para obter instruções sobre como excluir uma política de configuração, consulte Exclusão de políticas de configuração. Quando a desassociação é concluída, um destino afetado herda a política de configuração ou o comportamento autogerenciado do pai mais próximo. Se não houver uma configuração herdável, o destino reterá as configurações que tinha antes da desassociação, mas se tornará autogerenciado.

Escolha seu método preferido e siga as etapas para desassociar uma conta, UO ou ou a raiz de sua configuração atual.

Console
Para desassociar uma conta ou UO de sua configuração atual

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Na guia Organizations, selecione a conta, a UO ou a raiz que você deseja desassociar da configuração atual. Escolha Editar.

  4. Na página Definir configuração, em Gerenciamento, escolha Política aplicada se quiser que o administrador delegado possa aplicar políticas diretamente ao destino. Escolha Herdada se desejar que o destino herde a configuração do pai mais próximo. Em qualquer um desses casos, o administrador delegado controlará as configurações do destino. Escolha Autogerenciado se desejar que a conta ou UO controle suas próprias configurações.

  5. Depois de revisar suas alterações, escolha Avançar e Aplicar. Essa ação substituirá as configurações existentes de todas as contas ou UOs que estejam no escopo, caso essas configurações entrem em conflito com suas seleções atuais.

API
Para desassociar uma conta ou UO de sua configuração atual

  1. Invoque a API StartConfigurationPolicyDisassociation a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  2. Em ConfigurationPolicyIdentifier, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja desassociar. Forneça SELF_MANAGED_SECURITY_HUB para esse campo, para desassociar o comportamento autogerenciado.

  3. Em Target, forneça as contas, UOs ou a raiz que você deseja dissociar dessa política de configuração.

Exemplo de solicitação de API para desassociar uma política de configuração:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
AWS CLI
Para desassociar uma conta ou UO de sua configuração atual

  1. Execute o comando start-configuration-policy-disassociation a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  2. Em configuration-policy-identifier, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja desassociar. Forneça SELF_MANAGED_SECURITY_HUB para esse campo, para desassociar o comportamento autogerenciado.

  3. Em target, forneça as contas, UOs ou a raiz que você deseja dissociar dessa política de configuração.

Exemplo de comando para desassociar uma política de configuração:

aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'