本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在特定標準中停用控制項 您只能在特定安全標準中停用控制項,而不是在所有標準中停用。如果控制項適用於其他已啟用的標準, AWS Security Hub CSPM 會繼續執行控制項的安全檢查,而且您會持續收到控制項的問題清單。 建議您在套用控制項的所有已啟用標準中,調整控制項的啟用狀態。如需停用適用於其所有標準之控制項的詳細資訊,請參閱 [停用跨標準的控制項](disable-controls-across-standards.md)。 在標準詳細資訊頁面上,您也可以在特定標準中停用控制項。您必須在每個 AWS 帳戶 和 中分別停用特定標準中的控制項 AWS 區域。當您在特定標準中停用控制項時,它只會影響目前的帳戶和區域。 選擇您偏好的方法,並依照下列步驟停用一或多個特定標準的控制項。 ------ #### [ Security Hub CSPM console ] **停用特定標準中的控制項** 1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。 1. 從導覽窗格中選擇**安全標準**。選擇 **檢視相關標準的結果**。 1. 選取控制項。 1. 選擇**停用控制**。此選項不會針對已停用的控制項顯示。 1. 提供停用控制項的原因,然後選擇**停用**進行確認。 ------ #### [ Security Hub CSPM API ] **停用特定標準中的控制項** 1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`,並提供標準 ARN,以取得特定標準的可用控制項清單。若要取得標準 ARN,請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 會傳回標準無關的安全控制 IDs,而非標準特定的控制 IDs。 **請求範例:** ``` { "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0" } ``` 1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`,並提供特定的控制項 ID,以傳回每個標準中控制項的目前啟用狀態。 **請求範例:** ``` { "SecurityControlId": "IAM.1" } ``` 1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您要停用控制項之標準 ARN。 1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟,API 會傳回 HTTP 狀態碼 200 回應。 **請求範例:** ``` { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}] } ``` ------ #### [ AWS CLI ] **停用特定標準中的控制項** 1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)`命令,並提供標準 ARN,以取得特定標準的可用控制項清單。若要取得標準 ARN,請執行 `describe-standards`。此命令會傳回標準無關的安全控制 IDs,而不是標準特定的控制 IDs。 ``` aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0" ``` 1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)`命令,並提供特定的控制項 ID,以傳回每個標準中控制項的目前啟用狀態。 ``` aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1 ``` 1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您要停用控制項之標準 ARN。 1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已啟用的控制項遵循這些步驟,命令會傳回 HTTP 狀態碼 200 回應。 ``` aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]' ``` ------