本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建和关联配置策略
AWS Security Hub CSPM 委派管理员账户可以创建配置策略,指定 Security Hub CSPM、标准和控件在指定账户和组织单元 (OU) 中的配置方式。只有委托管理员将配置策略与至少一个账户、组织部门(OU)或根关联后,配置策略才会生效。委托管理员还可以将自行管理配置与账户、OU 或根相关联。
如果您是首次创建配置策略,我们建议您先查看 Security Hub CSPM 中配置策略的工作原理。
选择您的首选访问方法,然后按照步骤创建和关联配置策略或自行管理配置。使用 Security Hub CSPM 控制台时,您可以同时将配置与多个账户或 OU 相关联。使用 Security Hub CSPM API 或 AWS CLI 时,您只能在每个请求中将配置与一个账户或 OU 相关联。
注意
如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的调查发现限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。
如果涉及全局资源的已启用控件在主区域不受支持,则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置,您无法覆盖在主区域或任何关联区域中不可用的控件。
有关涉及全球资源的控件列表,请参阅使用全局资源的控件。
- Security Hub CSPM console
-
要创建和关联配置策略
打开 AWS Security Hub CSPM 控制台,网址为 https://console.aws.amazon.com/securityhub/
。 使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。
-
在导航窗格中,选择配置和策略选项卡。然后选择创建策略。
-
如果这是您第一次创建配置策略,则在配置组织页面上,可以在配置类型下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到自定义策略选项。
选择在整个组织中使用 AWS 推荐的 Security Hub CSPM 配置,以使用我们推荐的策略。推荐的策略在所有组织账户中启用 Security Hub CSPM、AWS 基础安全最佳实践 (FSBP) 标准以及所有新的和现有的 FSBP 控件。控件使用默认参数值。
选择我还没准备好配置,以稍后创建配置策略。
选择自定义策略,以创建自定义配置策略。指定是启用还是禁用 Security Hub CSPM、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定自定义参数值。
-
在账户部分,选择要将配置策略应用于哪些目标账户、OU 或根。
如果要将配置策略应用于根,请选择所有账户。这包括组织中所有未应用或继承其他策略的账户和 OU。
如果要将配置策略应用于特定账户或 OU,请选择特定账户。输入账户 ID,或者从组织结构中选择账户和 OU。创建策略时,您最多可以将策略应用于 15 个目标(账户、OU 或根)。要指定更多目标,请在创建策略后进行编辑,然后将其应用于其他目标。
选择仅限委托管理员,将配置策略应用于当前的委托管理员账户。
-
选择下一步。
-
在查看和应用页面上,查看您的配置策略详细信息。然后选择创建并应用策略。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。已应用目标的子账户和 OU 将自动继承此配置策略,除非它们被排除在外、自行管理或使用不同的配置策略。
- Security Hub CSPM API
-
要创建和关联配置策略
-
从主区域的 Security Hub CSPM 委派管理员账户调用 CreateConfigurationPolicy API。
-
对于
Name,输入配置策略的唯一名称。(可选)对于Description,为配置策略提供描述。 -
在
ServiceEnabled字段中,指定要在此配置策略中启用还是禁用 Security Hub CSPM。 -
在
EnabledStandardIdentifiers字段中,指定要在此配置策略中启用哪些 Security Hub CSPM 标准。 -
对于
SecurityControlsConfiguration对象,请在此配置策略中指定要启用或禁用的控件。选择EnabledSecurityControlIdentifiers意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择DisabledSecurityControlIdentifiers意味着指定的控件被禁用。属于已启用标准的其他控件(包括新发布的控件)将被启用。 -
或者,在
SecurityControlCustomParameters字段中,指定要为其自定义参数的已启用控件。为ValueType字段提供CUSTOM,为Value字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub CSPM 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 了解 Security Hub CSPM 中的控件参数。 -
要将您的配置策略应用于账户或 OU,请从主区域的 Security Hub CSPM 委派管理员账户调用 StartConfigurationPolicyAssociation API。
-
请为
ConfigurationPolicyIdentifier字段提供策略的 Amazon 资源名称(ARN)或用唯一标识符(UUID)。此 ARN 和 UUID 由CreateConfigurationPolicyAPI 返回。对于自行管理配置,ConfigurationPolicyIdentifier字段等于SELF_MANAGED_SECURITY_HUB。 -
在
Target字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个 API 请求中提供一个目标。所选目标的子账户和 OU 将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。
用于创建配置策略的 API 请求示例:
{ "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }用于关联配置策略的 API 请求示例:
{ "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} } -
- AWS CLI
-
要创建和关联配置策略
-
从主区域的 Security Hub CSPM 委派管理员账户运行 create-configuration-policy 命令。
-
对于
name,输入配置策略的唯一名称。(可选)对于description,为配置策略提供描述。 -
在
ServiceEnabled字段中,指定要在此配置策略中启用还是禁用 Security Hub CSPM。 -
在
EnabledStandardIdentifiers字段中,指定要在此配置策略中启用哪些 Security Hub CSPM 标准。 -
在
SecurityControlsConfiguration字段中,请在此配置策略中指定要启用或禁用的控件。选择EnabledSecurityControlIdentifiers意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择DisabledSecurityControlIdentifiers意味着指定的控件被禁用。适用于您已启用标准的其他控件(包括新发布的控件)已启用。 -
或者,在
SecurityControlCustomParameters字段中,指定要为其自定义参数的已启用控件。为ValueType字段提供CUSTOM,为Value字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub CSPM 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 了解 Security Hub CSPM 中的控件参数。 -
要将您的配置策略应用于账户或 OU,请从主区域的 Security Hub CSPM 委派管理员账户运行 start-configuration-policy-association 命令。
-
请为
configuration-policy-identifier字段提供配置策略的 Amazon 资源名称(ARN)或 ID。此 ARN 和 ID 由create-configuration-policy命令返回。 -
在
target字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。
用于创建配置策略的命令示例:
aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'用于关联配置策略的命令示例:
aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}' -
StartConfigurationPolicyAssociation API 返回一个名为 AssociationStatus 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESS 或 FAILURE 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅查看配置策略的关联状态。
