关闭自动启用的安全标准 - AWS Security Hub

关闭自动启用的安全标准

如果您的组织不使用中心配置,则会使用称为本地配置的配置类型。通过本地配置,AWS Security Hub CSPM 可以在新成员账户加入您的组织时自动启用默认安全标准。适用于这些默认标准的所有控件也会自动启用。

当前,默认安全标准是 AWS 基础安全最佳实践 (FSBP) 标准和 Center for Internet Security (CIS) AWS 基金会基准 v1.2.0 标准。有关这些标准的信息,请参阅Security Hub CSPM 标准参考

如果您希望手动为新成员账户启用安全标准,则可以关闭默认标准的自动启用。仅当您与 AWS Organizations 集成并使用本地配置时,才能执行此操作。如果使用中心配置,则可以创建启用默认标准的配置策略并将该策略与根相关联。然后,您的所有组织账户和 OU 都将继承此配置策略,除非它们与其他策略关联或是自行管理账户。如果未与 AWS Organizations 集成,则可以在首次启用 Security Hub CSPM 或之后启用该功能时禁用默认标准。要了解如何操作,请参阅禁用标准

要为新的成员账户关闭默认标准自动启用,可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。

Security Hub CSPM console

请按照以下步骤使用 Security Hub CSPM 控制台关闭默认标准自动启用。

关闭默认标准的自动启用

  1. 打开 AWS Security Hub CSPM 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用管理员账户的凭证登录。

  2. 在导航窗格中的设置下,选择配置

  3. 概述部分,选择编辑

  4. 新账户设置下,清除启用默认安全标准复选框。

  5. 选择确认

Security Hub CSPM API

要以编程方式从 Security Hub CSPM 管理员账户关闭默认标准的自动启用,请使用 Security Hub CSPM API 的 UpdateOrganizationConfiguration 操作。在您的请求中,为 AutoEnableStandards 参数指定 NONE

如果使用 AWS CLI,请运行 update-organization-configuration 命令以关闭默认标准的自动启用。对于 auto-enable-standards 参数,请指定 NONE。例如,以下命令会自动为新成员账户启用 Security Hub CSPM,并关闭账户默认标准的自动启用。

$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE