本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
禁用特定标准中的控件
您只能在特定的安全标准中禁用控件,而不是在所有标准中禁用控件。如果该控件适用于其他已启用的标准,则 Sec AWS urity Hub CSPM 将继续对该控件运行安全检查,并且您会继续收到该控件的调查结果。
我们建议在控件所适用的所有已启用标准中统一控件的启用状态。有关禁用适用于其的所有标准的控件的信息,请参阅跨标准禁用控件。
在标准详细信息页面上,您还可以在特定标准中禁用控件。您必须在每个 AWS 账户 和中分别禁用特定标准中的控件 AWS 区域。当您在特定标准中禁用控件时,它只会影响当前账户和区域。
选择您的首选方法,然后按照以下步骤禁用一个或多个特定标准中的控件。
- Security Hub CSPM console
-
要禁用特定标准中的控件
打开 S AWS ecurity Hub CSPM 控制台,网址为。https://console.aws.amazon.com/securityhub/
-
从导航窗格中选择安全标准。对于相关标准,选择查看结果。
-
选择控件。
-
选择 “禁用控制”。对于已经禁用的控件,此选项不会出现。
-
提供禁用控件的原因,然后选择禁用进行确认。
- Security Hub CSPM API
-
要禁用特定标准中的控件
-
运行
ListSecurityControlDefinitionsDescribeStandards。此 API 返回与标准无关的安全控制 IDs,而不是特定于标准的控制。 IDs请求示例:
{ "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0" } -
运行
ListStandardsControlAssociations请求示例:
{ "SecurityControlId": "IAM.1" } -
运行
BatchUpdateStandardsControlAssociations -
将
AssociationStatus参数设置为等于DISABLED。如果您对已禁用的控件执行以下步骤,API 将返回 HTTP 状态代码 200 响应。请求示例:
{ "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}] }
-
- AWS CLI
-
要禁用特定标准中的控件
-
运行
list-security-control-definitionsdescribe-standards。此命令返回与标准无关的安全控制 IDs,而不是特定于标准的控制。 IDsaws securityhub --regionus-east-1"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0" -
运行
list-standards-control-associationsaws securityhub --regionus-east-1CloudTrail.1 -
运行
batch-update-standards-control-associations -
将
AssociationStatus参数设置为等于DISABLED。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。aws securityhub --regionus-east-1'[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
-
