禁用 Security Hub CSPM
您可以使用 Security Hub CSPM 控制台或 Security Hub API 禁用 AWS Security Hub CSPM。如果您禁用 Security Hub CSPM,则可以稍后重新启用它。
如果您的组织使用中心配置,则 Security Hub CSPM 委派管理员可以创建配置策略来禁用特定账户和组织单元 (OU) 的 Security Hub CSPM,并保持为其他账户和组织单元启用 Security Hub CSPM。配置策略影响主区域和所有关联区域。有关更多信息,请参阅 了解 Security Hub CSPM 中的中心配置。
如果禁用某个账户的 Security Hub CSPM,则会发生以下情况:
-
该账户的所有 Security Hub CSPM 标准和控件均已禁用。
-
Security Hub CSPM 停止为该账户生成、更新和提取调查发现。
-
30 天后,Security Hub CSPM 将永久删除该账户的所有现有存档调查发现。使用 Security Hub CSPM 无法恢复这些调查发现。
-
90 天后,Security Hub CSPM 将永久删除该账户的所有现有活跃调查发现。使用 Security Hub CSPM 无法恢复这些调查发现。
-
90 天后,Security Hub CSPM 将永久删除该账户的所有现有见解和 Security Hub CSPM 配置设置。数据和设置无法恢复。
要保留现有调查发现,可以在禁用 Security Hub CSPM 之前将调查发现导出到 S3 存储桶。您可以使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 使用 EventBridge 进行自动响应和补救。
如果您在为账户禁用 Security Hub CSPM 后的 90 天内重新启用该功能,则可以重新获得该账户的现有活跃调查发现以及见解和 Security Hub CSPM 配置设置的访问权限。如果您在 30 天内重新启用 Security Hub CSPM,则还可以重新获得该账户的现有存档调查发现的访问权限。但是,现有调查发现可能不准确,因为它们将反映您禁用 Security Hub CSPM 时 AWS 环境的状态。此外,当您重新启用各个标准和控件时,Security Hub CSPM 最初可能会为特定 AWS 资源生成重复的调查发现,具体取决于您启用的标准和控件。出于这些原因,我们建议您执行以下操作之一:
-
在禁用 Security Hub CSPM 之前,请将所有现有调查发现的工作流状态更改为
RESOLVED。有关更多信息,请参阅 设置调查发现的工作流程状态。 -
在禁用 Security Hub CSPM 之前至少六天禁用所有标准。然后,Security Hub CSPM 会尽最大努力将所有现有调查发现归档,通常在三到五天内。有关更多信息,请参阅 禁用标准。
在以下情况下,您无法禁用 Security Hub CSPM:
-
您的账户是某组织的 Security Hub CSPM 委派管理员帐户。如果使用中心配置,则无法将禁用 Security Hub CSPM 的配置策略与委派管理员账户关联。其他账户的关联可能会成功,但 Security Hub CSPM 不会将该策略应用于委派管理员账户。
-
您的账户是受邀的 Security Hub CSPM 管理员账户,并且您拥有成员账户。在禁用 Security Hub CSPM 之前,您必须解除关联所有成员账户。要了解如何操作,请参阅在 Security Hub CSPM 中解除关联成员账户。
在成员账户的所有者可以禁用 Security Hub CSPM 之前,您必须先解除该账户与其管理员账户的关联。对于组织账户,只有管理员账户可以解除成员账户关联。有关更多信息,请参阅 解除 Security Hub CSPM 成员账户与组织的关联。对于手动邀请的账户,管理员账户或成员账户可以解除成员账户关联。有关更多信息,请参阅在 Security Hub CSPM 中解除关联成员账户或解除关联 Security Hub CSPM 管理员账户。如果使用中心配置,则不需要解除关联,因为 Security Hub CSPM 管理员可以创建一个策略来为特定成员账户禁用 Security Hub CSPM。
禁用账户的 Security Hub CSPM 时,它仅在当前 AWS 区域禁用。但是,如果使用中心配置为特定账户禁用 Security Hub CSPM,则会导致在主区域和所有关联区域禁用 Security Hub CSPM。
要禁用 Security Hub CSPM,请选择您喜欢的方法并按照步骤进行操作。
