关闭自动启用的安全标准 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关闭自动启用的安全标准

如果您的组织不使用中央配置,则会使用一种称为本地配置的配置类型。通过本地配置, AWS 当新成员帐户加入您的组织时,Security Hub CSPM 可以自动为其启用默认安全标准。适用于这些默认标准的所有控件也会自动启用。

目前,默认安全标准是 AWS 基础安全最佳实践标准和互联网安全中心 (CIS) AWS 基金会基准 v1.2.0 标准。有关这些标准的信息,请参阅Security Hub CSPM 的标准参考

如果您希望为新成员账户手动启用安全标准,则可以关闭默认标准的自动启用。只有与本地配置集成 AWS Organizations 并使用本地配置时,才能执行此操作。如果您使用集中配置,则可以改为创建启用默认标准的配置策略并将该策略与根相关联。您的所有组织帐户都 OUs 将继承此配置策略,除非它们与不同的策略关联或是自我管理的。如果您未与集成 AWS Organizations,则可以在最初启用 Security Hub CSPM 或更高版本时禁用默认标准。要了解如何操作,请参阅禁用标准

要关闭自动启用新成员账户的默认标准,可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。

Security Hub CSPM console

按照以下步骤使用 Security Hub CSPM 控制台关闭默认标准的自动启用。

关闭自动启用默认标准

  1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。https://console.aws.amazon.com/securityhub/

    使用管理员账户的凭证登录。

  2. 在导航窗格中的设置下,选择配置

  3. 概述部分,选择编辑

  4. 在 “新账户设置” 下,清除 “启用默认安全标准” 复选框。

  5. 选择确认

Security Hub CSPM API

要通过 Security Hub CSPM 管理员帐户以编程方式关闭默认标准的自动启用,请使用 Security Hub CSPM API 的UpdateOrganizationConfiguration操作。在您的请求中,NONEAutoEnableStandards参数指定。

如果您使用的是 AWS CLI,请运行update-organization-configuration命令以关闭默认标准的自动启用。对于 auto-enable-standards 参数,请指定 NONE。例如,以下命令会自动为新成员账户启用 Security Hub CSPM,并关闭账户默认标准的自动启用。

$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE