关闭自动启用的安全标准 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关闭自动启用的安全标准

如果您的组织不使用中央配置,则会使用一种称为本地配置的配置类型。通过本地配置,Sec AWS urity Hub Cloud 安全态势管理 (CSPM) 可以在新成员账户加入您的组织时自动为其启用默认安全标准。适用于这些默认标准的所有控件也会自动启用。

目前,默认安全标准是 AWS 基础安全最佳实践标准和互联网安全中心 (CIS) AWS 基金会基准 v1.2.0 标准。有关这些标准的信息,请参阅Security Hub CSPM 的标准参考

如果您希望为新成员账户手动启用安全标准,则可以关闭默认标准的自动启用。只有与本地配置集成 AWS Organizations 并使用本地配置时,才能执行此操作。如果您使用集中配置,则可以改为创建启用默认标准的配置策略并将该策略与根相关联。您的所有组织帐户都 OUs 将继承此配置策略,除非它们与不同的策略关联或是自我管理的。如果您未与集成 AWS Organizations,则可以在最初启用 Security Hub CSPM 或更高版本时禁用默认标准。要了解如何操作,请参阅禁用标准

要关闭自动启用新成员账户的默认标准,可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。

Security Hub CSPM console

按照以下步骤使用 Security Hub CSPM 控制台关闭默认标准的自动启用。

关闭默认标准的自动启用

  1. 打开 Sec AWS urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

    使用管理员账户的凭证登录。

  2. 在导航窗格中的设置下,选择配置

  3. 概述部分,选择编辑

  4. 在 “新账户设置” 下,清除 “启用默认安全标准” 复选框。

  5. 选择确认

Security Hub CSPM API

要通过 Security Hub CSPM 管理员帐户以编程方式关闭默认标准的自动启用,请使用 Security Hub CSPM API 的UpdateOrganizationConfiguration操作。在您的请求中,NONEAutoEnableStandards参数指定。

如果您使用的是 AWS CLI,请运行update-organization-configuration命令以关闭默认标准的自动启用。对于 auto-enable-standards 参数,请指定 NONE。例如,以下命令会自动为新成员账户启用 Security Hub CSPM,并关闭账户默认标准的自动启用。

$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE