禁用 Security Hub CSPM 与的集成 AWS Organizations - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用 Security Hub CSPM 与的集成 AWS Organizations

AWS Organizations 组织与 Sec AWS urity Hub CSPM 集成后,组织管理帐户随后可以禁用集成。作为 Organizations 管理账户的用户,您可以通过在 AWS Organizations中禁用对 Security Hub CSPM 的可信访问来实现。

当您禁用 Security Hub CSPM 的可信访问权限时,会出现以下情况:

  • Security Hub CSPM 失去了其作为受信任服务的地位。 AWS Organizations

  • Security Hub CSPM 委派管理员账户将无法访问 AWS 区域中所有 Security Hub CSPM 成员账户的 Security Hub CSPM 设置、数据和资源。

  • 如果您使用的是中心配置,Security Hub CSPM 会自动停止在您的组织中使用它。您的配置策略和策略关联会被删除。账户保留在您禁用可信访问之前的配置。

  • 所有 Security Hub CSPM 成员账户都将成为独立账户,并保留其当前设置。如果在一个或多个区域为成员账户启用 Security Hub CSPM,则这些区域的账户将继续启用 Security Hub CSPM。启用的标准和控件也保持不变。您可以在每个账户和地区中分别更改这些设置。但是,该账户不再与任何地区的委派管理员账户关联。

有关禁用可信服务访问的结果的更多信息,请参阅《AWS Organizations 用户指南》 AWS 服务中的 “AWS Organizations 与其他人一起使用”。

要禁用可信访问,您可以使用 AWS Organizations 控制台、Organizations API 或 AWS CLI。只有 Organizations 管理账户的用户可以禁用 Security Hub CSPM 的可信服务访问权限。有关所需权限的详细信息,请参阅《AWS Organizations 用户指南》中的禁用可信访问所需的权限

在禁用可信访问权限之前,可以选择与组织的委派管理员合作,禁用成员账户的 Security Hub CSPM,并清理这些账户的 Security Hub CSPM 资源。

选择您喜欢的方法,然后按照以下步骤禁用 Security Hub CSPM 的受信任访问。

Organizations console
禁用 Security Hub CSPM 的受信任访问

  1. AWS 管理控制台 使用 AWS Organizations 管理账户的凭据登录。

  2. 打开 “组织” 控制台,网址为https://console.aws.amazon.com/organizations/

  3. 在导航窗格中,选择服务

  4. 集成服务下,选择 AWS Security Hub CSPM

  5. 选择 Disable trusted access(禁用信任访问权限)

  6. 确认您要禁用可信访问权限。

Organizations API

禁用 Security Hub CSPM 的受信任访问

调用 AWS Organizations API 的 “禁用AWSService访问权限” 操作。对于 ServicePrincipal 参数,指定 Security Hub CSPM 服务主体(securityhub.amazonaws.com)。

AWS CLI

禁用 Security Hub CSPM 的受信任访问

运行 AWS Organizations API 的disable-aws-service-access命令。对于 service-principal 参数,指定 Security Hub CSPM 服务主体(securityhub.amazonaws.com)。

示例

aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com