在特定標準中停用控制項 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在特定標準中停用控制項

您只能在特定安全標準中停用控制項,而不是在所有標準中停用。如果控制項適用於其他已啟用的標準, AWS Security Hub Cloud Security Posture Management (CSPM) 會繼續執行控制項的安全檢查,而且您會持續收到控制項的問題清單。

建議您在套用控制項的所有已啟用標準中,調整控制項的啟用狀態。如需停用適用於其所有標準之控制項的詳細資訊,請參閱 停用跨標準的控制項

在標準詳細資訊頁面上,您也可以在特定標準中停用控制項。您必須在每個 AWS 帳戶 和 中分別停用特定標準的控制項 AWS 區域。當您在特定標準中停用控制項時,它只會影響目前的帳戶和區域。

選擇您偏好的方法,並依照下列步驟停用一或多個特定標準的控制項。

Security Hub CSPM console
停用特定標準中的控制項

  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub Cloud Security Posture Management (CSPM) 主控台。

  2. 從導覽窗格中選擇安全標準。選擇 檢視相關標準的結果

  3. 選取控制項。

  4. 選擇停用控制。此選項不會針對已停用的控制項顯示。

  5. 提供停用控制項的原因,然後選擇停用進行確認。

Security Hub CSPM API
停用特定標準中的控制項

  1. 執行 ListSecurityControlDefinitions,並提供標準 ARN,以取得特定標準的可用控制項清單。若要取得標準 ARN,請執行 DescribeStandards。此 API 會傳回標準無關的安全控制 IDs,而不是標準特定的控制 IDs。

    請求範例:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. 執行 ListStandardsControlAssociations,並提供特定的控制項 ID,以傳回每個標準中控制項的目前啟用狀態。

    請求範例:

    {
    "SecurityControlId": "IAM.1"
}

  3. 執行 BatchUpdateStandardsControlAssociations。提供您要停用控制項之標準 ARN。

  4. AssociationStatus 參數設定為等於 DISABLED。如果您針對已停用的控制項遵循這些步驟,API 會傳回 HTTP 狀態碼 200 回應。

    請求範例:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
}
AWS CLI
停用特定標準中的控制項

  1. 執行 list-security-control-definitions命令,並提供標準 ARN,以取得特定標準的可用控制項清單。若要取得標準 ARN,請執行 describe-standards。此命令會傳回標準無關的安全控制 IDs,而不是標準特定的控制 IDs。

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. 執行 list-standards-control-associations命令,並提供特定的控制項 ID,以傳回每個標準中控制項的目前啟用狀態。

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. 執行 batch-update-standards-control-associations 命令。提供您要停用控制項之標準 ARN。

  4. AssociationStatus 參數設定為等於 DISABLED。如果您針對已啟用的控制項遵循這些步驟,命令會傳回 HTTP 狀態碼 200 回應。

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'