本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立和關聯組態政策
委派的 AWS Security Hub Cloud Security Posture Management (CSPM) 管理員帳戶可以建立組態政策,以指定 Security Hub CSPM、標準和控制項在指定帳戶和組織單位 (OUs) 中的設定方式。只有在委派管理員將其與至少一個帳戶或組織單位 (OUs) 或根關聯之後,組態政策才會生效。委派管理員也可以將自我管理組態與帳戶、OUs 或根建立關聯。
如果這是您第一次建立組態政策,我們建議您先檢閱 組態政策如何在 Security Hub CSPM 中運作。
選擇您偏好的存取方法,並依照步驟建立和關聯組態政策或自我管理組態。使用 Security Hub CSPM 主控台時,您可以同時將組態與多個帳戶或 OUs建立關聯。使用 Security Hub CSPM API 或 時 AWS CLI,在每個請求中,您只能將組態與一個帳戶或 OU 建立關聯。
注意
如果您使用中央組態,Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。在可用的所有區域中啟用組態政策時,您選擇啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域,您可以更新 AWS Config 記錄器設定,並關閉主要區域以外的所有區域中的全域資源記錄。
如果主區域不支援涉及全域資源的已啟用控制項,Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態時,您無法涵蓋主要區域或任何連結區域中無法使用的控制項。
如需涉及全域資源的控制項清單,請參閱 使用全域資源的控制項。
- Security Hub CSPM console
-
建立和關聯組態政策
在 https://https://console.aws.amazon.com/securityhub/
開啟 AWS Security Hub Cloud Security Posture Management (CSPM) 主控台。 使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。
-
在導覽窗格中,選擇組態和政策索引標籤。然後,選擇建立政策。
-
在設定組織頁面上,如果這是您第一次建立組態政策,您會在組態類型下看到三個選項。如果您已建立至少一個組態政策,則只會看到自訂政策選項。
選擇在整個組織中使用 AWS 建議的 Security Hub CSPM 組態,以使用我們的建議政策。建議的政策會在所有組織帳戶中啟用 Security Hub CSPM、啟用 AWS 基礎安全最佳實務 (FSBP) 標準,以及啟用所有新的和現有的 FSBP 控制項。控制項使用預設參數值。
選擇我尚未準備好進行設定,以便稍後建立組態政策。
選擇自訂政策以建立自訂組態政策。指定是否啟用或停用 Security Hub CSPM、要啟用哪些標準,以及要跨這些標準啟用哪些控制項。或者,為支援自訂參數的一或多個已啟用控制項指定自訂參數值。
-
在帳戶區段中,選擇您要套用組態政策的目標帳戶、OUs 或根帳戶。
如果您想要將組態政策套用至根帳戶,請選擇所有帳戶。這包括組織中未套用或繼承其他政策的所有帳戶和 OUs。
如果您想要將組態政策套用至特定帳戶或 OUs請選擇特定帳戶。輸入帳戶 IDs,或從組織結構中選取帳戶和 OUs。建立政策時,您最多可以將政策套用至 15 個目標 (帳戶、OUs 或根目錄)。若要指定較大的數字,請在建立後編輯您的政策,並將其套用至其他目標。
選擇委派管理員,僅將組態政策套用至目前的委派管理員帳戶。
-
選擇下一步。
-
在檢閱和套用頁面上,檢閱您的組態政策詳細資訊。然後,選擇建立政策並套用。在您的主要區域和連結區域中,此動作會覆寫與此組態政策相關聯之帳戶的現有組態設定。帳戶可以透過應用程式或從父節點繼承,與組態政策相關聯。套用目標的子帳戶和 OUs 將自動繼承此組態政策,除非明確排除、自我管理或使用不同的組態政策。
- Security Hub CSPM API
-
建立和關聯組態政策
-
從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 CreateConfigurationPolicy API。
-
針對
Name,提供組態政策的唯一名稱。或者,對於Description,提供組態政策的描述。 -
針對
ServiceEnabled欄位,指定您希望在此組態政策中啟用或停用 Security Hub CSPM。 -
針對
EnabledStandardIdentifiers欄位,指定您要在此組態政策中啟用哪些 Security Hub CSPM 標準。 -
針對
SecurityControlsConfiguration物件,指定您要在此組態政策中啟用或停用哪些控制項。選擇EnabledSecurityControlIdentifiers表示已啟用指定的控制項。屬於已啟用標準 (包括新發佈的控制項) 的其他控制項會停用。選擇DisabledSecurityControlIdentifiers表示已停用指定的控制項。啟用屬於已啟用標準 (包括新發佈的控制項) 的其他控制項。 -
或者,對於
SecurityControlCustomParameters欄位,指定您要自訂參數的已啟用控制項。CUSTOM為ValueType欄位提供 ,並為Value欄位提供自訂參數值。此值必須是正確的資料類型,且在 Security Hub CSPM 指定的有效範圍內。僅選取控制項支援自訂參數值。如需詳細資訊,請參閱了解 Security Hub CSPM 中的控制參數。 -
若要將組態政策套用至帳戶或 OUs,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 StartConfigurationPolicyAssociation API。
-
針對
ConfigurationPolicyIdentifier欄位,提供政策的 Amazon Resource Name (ARN) 或通用唯一識別碼 (UUID)。CreateConfigurationPolicyAPI 會傳回 ARN 和 UUID。對於自我管理組態,ConfigurationPolicyIdentifier欄位等於SELF_MANAGED_SECURITY_HUB。 -
針對
Target欄位,提供您要套用此組態政策的 OU、帳戶或根 ID。每個 API 請求只能提供一個目標。所選目標的子帳戶和 OUs 將自動繼承此組態政策,除非它們是自我管理或使用不同的組態政策。
建立組態政策的 API 請求範例:
{ "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }建立組態政策關聯的 API 請求範例:
{ "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} } -
- AWS CLI
-
建立和關聯組態政策
-
從主區域中的 Security Hub CSPM 委派管理員帳戶執行 create-configuration-policy命令。
-
針對
name,提供組態政策的唯一名稱。或者,對於description,提供組態政策的描述。 -
針對
ServiceEnabled欄位,指定您希望在此組態政策中啟用或停用 Security Hub CSPM。 -
針對
EnabledStandardIdentifiers欄位,指定您要在此組態政策中啟用哪些 Security Hub CSPM 標準。 -
針對
SecurityControlsConfiguration欄位,指定您要在此組態政策中啟用或停用哪些控制項。選擇EnabledSecurityControlIdentifiers表示已啟用指定的控制項。屬於已啟用標準 (包括新發佈的控制項) 的其他控制項會停用。選擇DisabledSecurityControlIdentifiers表示已停用指定的控制項。會啟用適用於已啟用標準 (包括新發佈的控制項) 的其他控制項。 -
或者,對於
SecurityControlCustomParameters欄位,指定您要自訂參數的已啟用控制項。CUSTOM為ValueType欄位提供 ,並為Value欄位提供自訂參數值。此值必須是正確的資料類型,且在 Security Hub CSPM 指定的有效範圍內。僅選取控制項支援自訂參數值。如需詳細資訊,請參閱了解 Security Hub CSPM 中的控制參數。 -
若要將組態政策套用至帳戶或 OUs,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 start-configuration-policy-association命令。
-
針對
configuration-policy-identifier欄位,提供組態政策的 Amazon Resource Name (ARN) 或 ID。此 ARN 和 ID 由create-configuration-policy命令傳回。 -
針對
target欄位,提供您要套用此組態政策的 OU、帳戶或根 ID。每次執行命令時只能提供一個目標。所選目標的子項會自動繼承此組態政策,除非它們是自我管理或使用不同的組態政策。
建立組態政策的範例命令:
aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'建立組態政策關聯的範例命令:
aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}' -
StartConfigurationPolicyAssociation API 會傳回名為 的欄位AssociationStatus。此欄位會告訴您政策關聯是待定還是處於成功或失敗狀態。狀態最多可能需要 24 小時才能從 變更為 PENDINGSUCCESS或 FAILURE。如需關聯狀態的詳細資訊,請參閱 檢閱組態政策的關聯狀態。
