关闭自动启用的安全标准 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关闭自动启用的安全标准

如果您的组织不使用中心配置,则会使用称为本地配置的配置类型。通过本地配置, AWS Security Hub CSPM 可以在新成员账户加入您的组织时自动启用默认安全标准。适用于这些默认标准的所有控件也会自动启用。

目前,默认安全标准是 AWS 基础安全最佳实践标准和互联网安全中心 (CIS) AWS 基金会基准 v1.2.0 标准。有关这些标准的信息,请参阅Security Hub CSPM 标准参考

如果您希望手动为新成员账户启用安全标准,则可以关闭默认标准的自动启用。只有与本地配置集成 AWS Organizations 并使用本地配置时,才能执行此操作。如果使用中心配置,则可以创建启用默认标准的配置策略并将该策略与根相关联。您的所有组织帐户都 OUs 将继承此配置策略,除非它们与不同的策略关联或是自我管理的。如果您未与集成 AWS Organizations,则可以在最初启用 Security Hub CSPM 或更高版本时禁用默认标准。要了解如何操作,请参阅禁用标准

要为新的成员账户关闭默认标准自动启用,可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。

Security Hub CSPM console

请按照以下步骤使用 Security Hub CSPM 控制台关闭默认标准自动启用。

关闭默认标准的自动启用

  1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。https://console.aws.amazon.com/securityhub/

    使用管理员账户的凭证登录。

  2. 在导航窗格中的设置下,选择配置

  3. 概述部分,选择编辑

  4. 新账户设置下,清除启用默认安全标准复选框。

  5. 选择确认

Security Hub CSPM API

要以编程方式从 Security Hub CSPM 管理员账户关闭默认标准的自动启用,请使用 Security Hub CSPM API 的 UpdateOrganizationConfiguration 操作。在您的请求中,为 AutoEnableStandards 参数指定 NONE

如果您使用的是 AWS CLI,请运行update-organization-configuration命令以关闭默认标准的自动启用。对于 auto-enable-standards 参数,请指定 NONE。例如,以下命令会自动为新成员账户启用 Security Hub CSPM,并关闭账户默认标准的自动启用。

$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE