本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 禁用特定标准中的控件 您可以仅在特定安全标准中禁用某个控件,而不是在所有标准中禁用。如果该控件适用于其他已启用的标准,则 Sec AWS urity Hub CSPM 将继续对该控件运行安全检查,并且您会继续收到该控件的调查结果。 我们建议在控件所适用的所有已启用标准中统一控件的启用状态。有关如何禁用适用于所有标准的控件的信息,请参阅[跨标准禁用控件](disable-controls-across-standards.md)。 在标准详细信息页面上,您还可以在特定标准中禁用控件。您必须在每个 AWS 账户 和中分别禁用特定标准中的控件 AWS 区域。当您在特定标准中禁用某个控件时,它只会影响当前账户和区域。 选择您喜欢的方法,然后按照这些步骤在一个或多个特定标准中禁用控件。 ------ #### [ Security Hub CSPM console ] **要禁用特定标准中的控件** 1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 1. 从导航窗格中选择**安全标准**。对于相关标准,选择**查看结果**。 1. 选择控件。 1. 选择**禁用控件**。对于已禁用的控件,此选项不会出现。 1. 提供禁用控件的原因,然后选择**禁用**进行确认。 ------ #### [ Security Hub CSPM API ] **要禁用特定标准中的控件** 1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` 并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 返回与标准无关的安全控制 IDs,而不是特定于标准的控制。 IDs **请求示例:** ``` { "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0" } ``` 1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。 **请求示例:** ``` { "SecurityControlId": "IAM.1" } ``` 1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您要在其中禁用控件的标准的 ARN。 1. 将 `AssociationStatus` 参数设置为等于 `DISABLED`。如果您对已禁用的控件执行以下步骤,API 将返回 HTTP 状态代码 200 响应。 **请求示例:** ``` { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}] } ``` ------ #### [ AWS CLI ] **要禁用特定标准中的控件** 1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` 命令并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行 `describe-standards`。此命令返回与标准无关的安全控制 IDs,而不是特定于标准的控制。 IDs ``` aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0" ``` 1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` 命令,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。 ``` aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1 ``` 1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您要在其中禁用控件的标准的 ARN。 1. 将 `AssociationStatus` 参数设置为等于 `DISABLED`。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。 ``` aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]' ``` ------