本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
自訂控制參數值
自訂控制參數的指示會根據您是否在 AWS Security Hub CSPM 中使用中央組態而有所不同。中央組態是一項功能,委派的 Security Hub CSPM 管理員可用來設定跨 AWS 區域帳戶和組織單位 (OUs) 的 Security Hub CSPM 功能。
如果您的組織使用中央組態,委派管理員可以建立包含自訂控制參數的組態政策。這些政策可以與集中管理的成員帳戶和 OUs 相關聯,它們在您的主要區域和所有連結區域中生效。委派管理員也可以將一或多個帳戶指定為自我管理,讓帳戶擁有者在每個區域中分別設定自己的參數。如果您的組織不使用中央組態,您必須在每個帳戶和區域中分別自訂控制參數。
我們建議您使用中央組態,因為它可讓您跨組織的不同部分調整控制參數值。例如,所有測試帳戶可能會使用特定參數值,而所有生產帳戶可能會使用不同的值。
在多個帳戶和區域中自訂控制參數
如果您是使用中央組態之組織的委派 Security Hub CSPM 管理員,請選擇您偏好的方法,然後依照步驟自訂跨多個帳戶和區域的控制參數。
- Security Hub CSPM console
-
在多個帳戶和區域中自訂控制參數值 (主控台)
在 https://https://console.aws.amazon.com/securityhub/
開啟 AWS Security Hub CSPM 主控台。 確保您已登入主區域。
-
在導覽窗格中,選擇設定和組態。
-
選擇 Policies (政策) 標籤。
-
若要建立新的包含自訂參數的組態政策,請選擇建立政策。若要在現有組態政策中指定自訂參數,請選取政策,然後選擇編輯。
使用自訂控制參數值建立新的組態政策
在自訂政策區段中,選擇您要啟用的安全標準和控制項。
選取自訂控制參數。
選取控制項,然後指定一或多個參數的自訂值。
若要自訂更多控制項的參數,請選擇自訂其他控制項。
在帳戶區段中,選取要套用政策的帳戶或 OUs。
選擇下一步。
選擇建立政策並套用。在您的主要區域和所有連結區域中,此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。
在現有組態政策中自訂控制參數值
在控制項區段的自訂政策下,指定您想要的新自訂參數值。
如果這是您第一次在此政策中自訂控制參數,請選取自訂控制參數,然後選取要自訂的控制項。若要自訂更多控制項的參數,請選擇自訂其他控制項。
在帳戶區段中,驗證您要套用政策的帳戶或 OUs。
-
選擇下一步。
-
檢閱您的變更,並確認其正確無誤。完成後,請選擇儲存政策並套用。在您的主要區域和所有連結區域中,此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。
- Security Hub CSPM API
-
在多個帳戶和區域中自訂控制參數值 (API)
使用自訂控制參數值建立新的組態政策
從主要區域中的委派管理員帳戶叫用 CreateConfigurationPolicy API。
針對
SecurityControlCustomParameters物件,提供您要自訂之每個控制項的識別符。針對
Parameters物件,提供您要自訂的每個參數的名稱。針對您自訂的每個參數,提供CUSTOM給ValueType。對於Value,請提供 參數的資料類型和自訂值。當ValueType為 時,Value欄位不可為空白CUSTOM。如果您的請求省略 控制項支援的參數,則該參數會保留其目前值。您可以透過叫用 GetSecurityControlDefinition API 來尋找控制項支援的參數、資料類型和有效值。
在現有組態政策中自訂控制參數值
從主要區域中的委派管理員帳戶叫用 UpdateConfigurationPolicy API。
針對
Identifier欄位,提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。針對
SecurityControlCustomParameters物件,提供您要自訂之每個控制項的識別符。針對
Parameters物件,提供您要自訂的每個參數的名稱。針對您自訂的每個參數,提供CUSTOM給ValueType。對於Value,請提供 參數的資料類型和自訂值。如果您的請求省略 控制項支援的參數,則該參數會保留其目前值。您可以叫用 GetSecurityControlDefinition API 來尋找控制項支援的參數、資料類型和有效值。
例如,下列 AWS CLI 命令會為
daysToExpiration參數建立具有自訂值的新組態政策ACM.1。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。$aws securityhub create-configuration-policy \ --regionus-east-1\ --name"SampleConfigurationPolicy"\ --description"Configuration policy for production accounts"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled":true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId":"ACM.1", "Parameters": {"daysToExpiration": {"ValueType":"CUSTOM", "Value": "Integer":15}}}]}}}'
在單一帳戶和區域中自訂控制參數
如果您不使用中央組態或擁有自我管理帳戶,您一次只能在一個區域中自訂帳戶的控制參數。
選擇您偏好的方法,然後依照步驟自訂控制參數。您的變更僅適用於目前區域中的帳戶。若要在其他區域中自訂控制參數,請在您要自訂參數的每個其他帳戶和區域中重複下列步驟。相同的控制項可以在不同的區域中使用不同的參數值。
- Security Hub CSPM console
-
在一個帳戶和區域中自訂控制參數值 (主控台)
開啟位於 https://https://console.aws.amazon.com/securityhub/
的 AWS Security Hub CSPM 主控台。 -
在導覽窗格中,選擇控制項。在表格中,選擇支援自訂參數且您想要變更參數的控制項。自訂參數欄指出哪些控制項支援自訂參數。
-
在控制項的詳細資訊頁面上,選擇參數索引標籤,然後選擇編輯。
-
指定您想要的參數值。
-
或者,在變更原因區段中,選取自訂參數的原因。
-
選擇儲存。
- Security Hub CSPM API
-
在一個帳戶和區域中自訂控制參數值 (API)
叫用 UpdateSecurityControl API。
針對
SecurityControlId,提供您要自訂之控制項的 ID。針對
Parameters物件,提供您要自訂的每個參數的名稱。針對您自訂的每個參數,提供CUSTOM給ValueType。對於Value,請提供 參數的資料類型和自訂值。如果您的請求省略 控制項支援的參數,則該參數會保留其目前值。您可以透過叫用 GetSecurityControlDefinition API 來尋找控制項支援的參數、資料類型和有效值。或者,對於
LastUpdateReason,提供自訂控制參數的原因。
例如,下列 AWS CLI 命令會定義
daysToExpiration參數的自訂值ACM.1。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。$aws securityhub update-security-control \ --regionus-east-1\ --security-control-idACM.1\ --parameters '{"daysToExpiration": {"ValueType":"CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason"Internal compliance requirement"
