本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Security Hub CSPM 中禁用控件
<a name="disable-controls-overview"></a>

为了减少调查发现噪音，禁用与环境无关的控件可能会很有用。在 S AWS ecurity Hub CSPM 中，您可以禁用所有安全标准或仅针对特定标准的控件。

如果跨所有标准禁用控件，则会发生以下情况：
+ 不再执行控件的安全检查。
+ 不会为该控件生成任何其他调查发现。
+ 控件的现有调查发现不再更新。
+ 控件的现有调查发现通常在 3-5 天内尽力自动存档。
+ Security Hub CSPM 会删除它为控件创建的所有相关 AWS Config 规则。

如果您仅针对特定标准禁用某个控件，Security Hub CSPM 会停止针对该控件或仅针对这些标准运行安全检查。这也会从每个标准的[安全分数计算](standards-security-score.md)中移除该控件。如果在其他标准中启用了该控件，Security Hub CSPM 会保留关联的 AWS Config 规则（如果适用），并继续对该控件或其他标准运行安全检查。Security Hub CSPM 在计算其他每个标准的安全分数时会包括该控件，这会影响您的摘要安全分数。

如果禁用某标准，则适用于该标准的所有控件都会在该标准中自动禁用。但是，在其他标准中，这些控件可能会继续启用。当您禁用某个标准时，Security Hub CSPM 不会跟踪对该标准禁用哪些控件。因此，如果您稍后重新启用同一标准，则适用于该标准的所有控件都会自动启用。有关禁用标准的信息，请参阅 [禁用标准](disable-standards.md)。

禁用控件并非永久性操作。假设您禁用一个控件，然后启用一个包含该控件的标准。然后，为该标准启用该控件。当您在 Security Hub CSPM 中启用某个标准时，适用于该标准的所有控件都会自动启用。有关启用标准的信息，请参阅 [启用标准](enable-standards.md)。

**Topics**
+ [跨标准禁用控件](disable-controls-across-standards.md)
+ [禁用特定标准中的控件](disable-controls-standard.md)
+ [建议禁用的控件](controls-to-disable.md)

# 跨标准禁用控件
<a name="disable-controls-across-standards"></a>

我们建议禁用跨标准的 S AWS ecurity Hub CSPM 控件，以保持整个组织的一致性。如果仅在特定标准中禁用了某控件，而其他标准中仍启用该控件，您可以继续接收该控件的调查发现。

## 多个账户和区域中的跨标准禁用
<a name="disable-controls-all-standards-central-configuration"></a>

要在多个 AWS 账户 和之间禁用安全控制 AWS 区域，必须使用[集中配置](central-configuration-intro.md)。

使用中心配置时，委派管理员可以创建 Security Hub CSPM 配置策略，以禁用已启用标准的指定控件。然后，您可以将配置策略与特定账户或根账户相关联。 OUs配置策略在您的主区域（也称为聚合区域）和所有关联区域中生效。

配置策略可自定义。例如，您可以选择禁用一个 OU 中的所有 AWS CloudTrail 控件，也可以选择禁用另一个 OU 中的所有 IAM 控件。粒度级别取决于您的组织中安全覆盖范围的预期目标。有关创建用于禁用不同标准中指定控件的配置策略的说明，请参阅[创建和关联配置策略](create-associate-policy.md)。

**注意**  
授权的管理员可以创建配置策略来管理除[服务管理标准之外的所有标准中的控件: AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。应在 AWS Control Tower 服务中配置该标准的控件。

如果您希望某些账户配置自己的控件而不是委派管理员来配置，则委派管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域中单独配置控件。

## 单个账户和区域中的跨标准禁用
<a name="disable-controls-all-standards"></a>

如果您未使用中心配置，或是自行管理账户，则无法使用配置策略在多个账户和区域中集中禁用控件。但是，您可以在单个账户和区域中禁用控件。

------
#### [ Security Hub CSPM console ]

**要在一个账户和区域中禁用不同标准中的控件**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 从导航窗格中选择**控件**。

1. 选择控件旁边的选项。

1. 选择**禁用控件**。对于已禁用的控件，此选项不会出现。

1. 选择禁用控件的原因，然后选择**禁用**进行确认。

1. 在您要在其中禁用控件的每个区域中重复这些操作。

------
#### [ Security Hub CSPM API ]

**要在一个账户和区域中禁用不同标准中的控件**

1. 调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控件 ID。

   **请求示例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供启用该控件的任何标准的 ARN。要获得标准 ARNs，请运行[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。

1. 将 `AssociationStatus` 参数设置为等于 `DISABLED`。如果您对已禁用的控件执行以下步骤，API 将返回 HTTP 状态代码 200 响应。

   **请求示例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. 在您要在其中禁用控件的每个区域中重复这些操作。

------
#### [ AWS CLI ]

**要在一个账户和区域中禁用不同标准中的控件**

1. 运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控件 ID。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. 运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供启用该控件的任何标准的 ARN。要获得标准 ARNs，请运行`describe-standards`命令。

1. 将 `AssociationStatus` 参数设置为等于 `DISABLED`。如果您对已禁用的控件执行以下步骤，该命令将返回 HTTP 状态代码 200 响应。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. 在您要在其中禁用控件的每个区域中重复这些操作。

------

# 禁用特定标准中的控件
<a name="disable-controls-standard"></a>

您可以仅在特定安全标准中禁用某个控件，而不是在所有标准中禁用。如果该控件适用于其他已启用的标准，则 Sec AWS urity Hub CSPM 将继续对该控件运行安全检查，并且您会继续收到该控件的调查结果。

我们建议在控件所适用的所有已启用标准中统一控件的启用状态。有关如何禁用适用于所有标准的控件的信息，请参阅[跨标准禁用控件](disable-controls-across-standards.md)。

在标准详细信息页面上，您还可以在特定标准中禁用控件。您必须在每个 AWS 账户 和中分别禁用特定标准中的控件 AWS 区域。当您在特定标准中禁用某个控件时，它只会影响当前账户和区域。

选择您喜欢的方法，然后按照这些步骤在一个或多个特定标准中禁用控件。

------
#### [ Security Hub CSPM console ]

**要禁用特定标准中的控件**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 从导航窗格中选择**安全标准**。对于相关标准，选择**查看结果**。

1. 选择控件。

1. 选择**禁用控件**。对于已禁用的控件，此选项不会出现。

1. 提供禁用控件的原因，然后选择**禁用**进行确认。

------
#### [ Security Hub CSPM API ]

**要禁用特定标准中的控件**

1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` 并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN，请运行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 返回与标准无关的安全控制 IDs，而不是特定于标准的控制。 IDs

   **请求示例：**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`，并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。

   **请求示例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您要在其中禁用控件的标准的 ARN。

1. 将 `AssociationStatus` 参数设置为等于 `DISABLED`。如果您对已禁用的控件执行以下步骤，API 将返回 HTTP 状态代码 200 响应。

   **请求示例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**要禁用特定标准中的控件**

1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` 命令并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN，请运行 `describe-standards`。此命令返回与标准无关的安全控制 IDs，而不是特定于标准的控制。 IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` 命令，并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您要在其中禁用控件的标准的 ARN。

1. 将 `AssociationStatus` 参数设置为等于 `DISABLED`。如果您对已启用的控件执行这些步骤，该命令将返回 HTTP 状态代码 200 响应。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# 建议在 Security Hub CSPM 中禁用的控件
<a name="controls-to-disable"></a>

我们建议禁用某些 Sec AWS urity Hub CSPM 控件，以减少查找噪音和使用成本。

## 使用全局资源的控件
<a name="controls-to-disable-global-resources"></a>

有些 AWS 服务 支持全局资源，这意味着您可以从任何资源访问该资源 AWS 区域。为了节省成本 AWS Config，您可以禁用除一个区域以外的所有区域记录全球资源。但在完成此操作后，Security Hub CSPM 仍将在所有启用控件的区域进行安全检查，并将根据每个区域的每个账户的检查数量，向您收费。因此，为了减少调查发现噪音并节省 Security Hub CSPM 的成本，还应禁用涉及到除记录全球资源的区域之外的所有区域中的全球资源的控件。

如果控件涉及全球资源，但仅在一个区域可用，则在该区域禁用该控件会让您无法获取底层资源的任何调查发现。在这种情况下，建议您使控件保持已启用状态。使用跨区域聚合时，可使用控件的区域应为聚合区域或关联区域之一。以下控件涉及全局资源，但仅在单个区域可用：
+ **所有 CloudFront 控件**-仅在美国东部（弗吉尼亚北部）区域可用
+ **GlobalAccelerator.1** — 仅在美国西部（俄勒冈）区域可用
+ **Route53.2** – 仅在美国东部（弗吉尼亚州北部）区域可用
+ **WAF.1、WAF.6、WAF.7、WAF.8** – 仅在美国东部（弗吉尼亚州北部）区域可用

**注意**  
如果您使用中心配置，Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内，您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。  
如果涉及全局资源的已启用控件在主区域不受支持，则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置，您无法覆盖在主区域或任何关联区域中不可用的控件。  
有关中心配置的更多信息，请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。

对于具有*定期*计划类型的控件，需要在 Security Hub CSPM 中将其禁用以防止计费。将 AWS Config 参数设置`includeGlobalResourceTypes`为`false`不会影响定期的 Security Hub CSPM 控制。

以下 Security Hub CSPM 控件使用全局资源：
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)

## CloudTrail 日志控制
<a name="controls-to-disable-cloudtrail-logging"></a>

[CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) 控件评估使用 AWS Key Management Service (AWS KMS) 加密 AWS CloudTrail 跟踪日志的情况。如果您在集中式日志记录账户中记录这些跟踪，则只需在集中日志记录 AWS 区域 所在的账户中启用此控件。

如果您使用[中心配置](central-configuration-intro.md)，则控件的启用状态将在主区域和关联区域之间保持一致。您无法在某些区域禁用某个控件而在其他区域启用该控件。在这种情况下，您可以抑制来自 CloudTrail .2 控件的结果，以减少查找噪音。

## CloudWatch 警报控制
<a name="controls-to-disable-cloudwatch-alarms"></a>

如果您更喜欢使用亚马逊而不是亚马逊 CloudWatch 警报 GuardDuty 进行异常检测，则可以禁用以下控件，这些控件侧重于 CloudWatch 警报：
+ [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14)