本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在特定標準中停用控制項
您只能在特定安全標準中停用控制項,而不是在所有標準中停用。如果控制項適用於其他已啟用的標準, AWS Security Hub CSPM 會繼續執行控制項的安全檢查,而且您會持續收到控制項的問題清單。
建議您在套用控制項的所有已啟用標準中,調整控制項的啟用狀態。如需停用適用所有標準之控制項的詳細資訊,請參閱 停用跨標準的控制項。
在標準詳細資訊頁面上,您也可以在特定標準中停用控制項。您必須在每個 AWS 帳戶 和 中分別停用特定標準的控制項 AWS 區域。當您在特定標準中停用控制項時,它只會影響目前的帳戶和區域。
選擇您偏好的方法,並依照下列步驟停用一或多個特定標準的控制項。
- Security Hub CSPM console
-
停用特定標準中的控制項
在 https://https://console.aws.amazon.com/securityhub/
開啟 AWS Security Hub CSPM 主控台。 -
從導覽窗格中選擇安全標準。選擇 檢視相關標準的結果。
-
選取控制項。
-
選擇停用控制。此選項不會針對已停用的控制項顯示。
-
提供停用控制項的原因,然後選擇停用進行確認。
- Security Hub CSPM API
-
停用特定標準中的控制項
-
執行
ListSecurityControlDefinitionsDescribeStandards。此 API 會傳回標準無關的安全控制 IDs,而非標準特定的控制 IDs。請求範例:
{ "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0" } -
執行
ListStandardsControlAssociations請求範例:
{ "SecurityControlId": "IAM.1" } -
執行
BatchUpdateStandardsControlAssociations -
將
AssociationStatus參數設定為等於DISABLED。如果您針對已停用的控制項遵循這些步驟,API 會傳回 HTTP 狀態碼 200 回應。請求範例:
{ "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}] }
-
- AWS CLI
-
停用特定標準中的控制項
-
執行
list-security-control-definitionsdescribe-standards。此命令會傳回標準無關的安全控制 IDs,而不是標準特定的控制 IDs。aws securityhub --regionus-east-1"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0" -
執行
list-standards-control-associationsaws securityhub --regionus-east-1CloudTrail.1 -
執行
batch-update-standards-control-associations -
將
AssociationStatus參數設定為等於DISABLED。如果您針對已啟用的控制項遵循這些步驟,命令會傳回 HTTP 狀態碼 200 回應。aws securityhub --regionus-east-1'[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
-
