View a markdown version of this page

禁用安全标准 - AWS Security Hub
在多个账户中禁用标准和 AWS 区域在单个账户中禁用标准版和 AWS 区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用安全标准

在 Security Hub CSPM 中禁用 AWS 安全标准时,会出现以下情况:

  • 除非与当前已启用的其他标准相关联,否则适用于该标准的所有控件均已禁用。

  • 不再对已禁用控件执行安全检查,并且不会为已禁用控件生成其他调查发现。

  • 已禁用控件的现有调查发现将在大约 3‐5 天后自动存档。

  • AWS Config Security Hub CSPM 为禁用的控件创建的规则将被删除。

通常会在禁用标准后的几分钟内删除相应的 AWS Config 规则。但是,这可能需要更长时间。如果删除规则的第一个请求失败,则 Security Hub CSPM 每 12 小时重试一次。但是,如果您禁用了 Security Hub CSPM 或没有启用任何其他标准,则 Security Hub CSPM 无法再次尝试,这意味着它无法删除规则。如果发生这种情况并且您需要删除规则,请联系 AWS 支持。

在多个账户中禁用标准和 AWS 区域

要在多个账户中禁用安全标准 AWS 区域,请使用集中配置。通过中心配置,受委派的 Security Hub CSPM 管理员可以创建 Security Hub CSPM 配置策略,以禁用一个或多个标准。然后,管理员可以将配置策略与单个帐户、组织单元(OU)或根帐户关联起来。配置策略会影响主区域(也称为聚合区域)以及所有关联区域。

配置策略提供自定义选项。例如,您可以选择在一个 OU 中禁用支付卡行业数据安全标准(PCI DSS)。对于另一个 OU,您可以选择禁用 PCI DSS 和美国国家标准与技术研究院(NIST)SP 800-53 Rev. 5 标准。有关如何创建启用或禁用您指定的各个标准的配置策略的信息,请参阅创建和关联配置策略

注意

Security Hub CSPM 管理员可以使用配置策略禁用除 AWS Control Tower 服务托管标准之外的任何标准。要禁用此标准,管理员必须 AWS Control Tower 直接使用。他们还必须使用 AWS Control Tower 此标准为集中管理的账户禁用或启用个人控件。

如果您希望某些帐户为自己的帐户配置或禁用标准,Security Hub CSPM 管理员可以将这些帐户指定为自我管理的帐户。 Self-managed 账户必须在每个地区单独禁用标准。

在单个账户中禁用标准版和 AWS 区域

如果不使用中心配置或您有自行管理账户,则无法使用配置策略在多个账户或 AWS 区域中集中禁用安全标准。但是,您可以在单个账户和区域中禁用标准。您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 执行此操作。

Security Hub CSPM console

按照以下步骤使用 Security Hub CSPM 控制台在一个账户和区域中禁用标准。

在一个账户和区域中禁用标准

  1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 使用页面右上角的选择 AWS 区域 器,选择要禁用标准的区域。

  3. 在导航窗格中,选择安全标准

  4. 在要禁用的标准的部分中,选择禁用标准

要在其他区域禁用标准,请在每个其他区域重复上述步骤。

Security Hub CSPM API

要在单个账户和区域中以编程方式禁用标准,请使用 BatchDisableStandards 操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),请运行该batch-disable-standards命令。

在您的请求中,使用 StandardsSubscriptionArns 参数指定要禁用的标准的 Amazon 资源名称(ARN)。如果您使用的是 AWS CLI,请使用standards-subscription-arns参数指定 ARN。此外,请指定您的请求适用的区域。例如,以下命令禁用账户 () AWS 的基础安全最佳实践 (FSBP) 标准:123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

美国东部(弗吉尼亚北部)地区账户的 FSBP 标准的 ARN 在哪里arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0us-east-1是要禁用该标准的区域。

要获取标准的 ARN,您可以使用 GetEnabledStandards 操作。此操作会检索有关您账户中当前已启用的标准的信息。如果您使用的是 AWS CLI,则可以运行 get-enabled-standards 命令来检索此信息

禁用某个标准后,Security Hub CSPM 将开始执行任务以在账户和指定的区域中禁用该标准。这包括禁用适用于该标准的所有控件。要监控这些任务的状态,您可以检查账户和区域中该标准的状态