针对各种标准启用控件 - AWS Security Hub
在多账户、多区域环境中的跨标准启用单个账户和区域中的跨标准启用

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

针对各种标准启用控件

我们建议在该控件 AWS 适用的所有标准中启用 Security Hub 云安全态势管理 (CSPM) 控件。如果开启整合的控件调查发现,那么即使一项控件属于多个标准,您也会收到每项控件检查的调查发现。

在多账户、多区域环境中的跨标准启用

要在多个 AWS 账户 和之间启用安全控制 AWS 区域,您必须登录委派的 Security Hub CSPM 管理员帐户并使用中央配置。

在中央配置下,授权的管理员可以创建 Security Hub CSPM 配置策略,这些策略可以跨已启用的标准启用指定控制。然后,您可以将配置策略与特定的账户和组织单位 (OUs) 或根相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。

配置策略可自定义。例如,您可以选择启用一个 OU 中的所有控件,也可以选择在另一个 OU 中仅启用 Amazon Elastic Compute Cloud (EC2) 控件。粒度级别取决于您的组织中安全覆盖范围的预期目标。有关创建配置策略(启用不同标准中的指定控件)的说明,请参阅创建和关联配置策略

注意

授权的管理员可以创建配置策略来管理除服务管理标准之外的所有标准中的控件: AWS Control Tower。应在 AWS Control Tower 服务中配置该标准的控件。

如果您希望某些账户配置自己的控件而不是委托管理员来配置,则委托管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域中单独配置控件。

单个账户和区域中的跨标准启用

如果您不使用中心配置或是自行管理账户,则无法使用配置策略在多个账户和区域中集中启用控件。但是,您可以使用以下步骤在单个账户和区域中启用控件。

Security Hub CSPM console
要在一个账户和区域中启用不同标准中的控件

  1. 打开 Sec AWS urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 从导航窗格中选择控件

  3. 选择已禁用选项卡。

  4. 选择控件旁边的选项。

  5. 选择启用控制(对于已启用的控件,此选项不会出现)。

  6. 在您要在其中启用控件的每个区域中重复这些操作。

Security Hub CSPM API
要在一个账户和区域中启用不同标准中的控件

  1. 调用 ListStandardsControlAssociations API。提供安全控件 ID。

    请求示例:

    {
    "SecurityControlId": "IAM.1"
}

  2. 调用 BatchUpdateStandardsControlAssociations API。提供所有未启用控件的标准的 Amazon 资源名称(ARN)。要获得标准 ARNs,请运行DescribeStandards

  3. AssociationStatus 参数设置为等于 ENABLED。如果您对已启用的控件执行以下步骤,则该 API 将返回 HTTP 状态码 200 响应。

    请求示例:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. 在您要在其中启用控件的每个区域中重复这些操作。

AWS CLI
要在一个账户和区域中启用不同标准中的控件

  1. 运行 list-standards-control-associations 命令。提供安全控件 ID。

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. 运行 batch-update-standards-control-associations 命令。提供所有未启用控件的标准的 Amazon 资源名称(ARN)。要获得标准 ARNs,请运行describe-standards命令。

  3. AssociationStatus 参数设置为等于 ENABLED。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. 在您要在其中启用控件的每个区域中重复这些操作。