啟用跨標準的控制 - AWSSecurity Hub
多帳戶、多區域環境中的跨標準啟用單一帳戶和區域中的跨標準啟用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用跨標準的控制

我們建議在套用控制項的所有標準中啟用 AWSSecurity Hub CSPM 控制。如果您開啟合併的控制項問題清單,即使控制項屬於多個標準,每個控制項檢查也會收到一個問題清單。

多帳戶、多區域環境中的跨標準啟用

若要跨多個 AWS 帳戶和 啟用安全控制AWS 區域,您必須登入委派的 Security Hub CSPM 管理員帳戶,並使用中央組態

在中央組態下,委派管理員可以建立 Security Hub CSPM 組態政策,以跨啟用的標準啟用指定的控制項。然後,您可以將組態政策與特定帳戶和組織單位 (OUs) 或根建立關聯。組態政策會在您的主要區域 (也稱為彙總區域) 和所有連結區域生效。

組態政策提供自訂。例如,您可以選擇在一個 OU 中啟用所有控制項,也可以選擇在另一個 OU 中僅啟用 Amazon Elastic Compute Cloud (EC2) 控制項。精細程度取決於組織中安全涵蓋範圍的預期目標。如需建立啟用跨標準指定控制項之組態政策的說明,請參閱 建立和關聯組態政策

注意

委派管理員可以建立組態政策,以管理服務受管標準以外的所有標準中的控制項:AWS Control Tower此標準的控制項應該在 AWS Control Tower服務中設定。

如果您希望某些帳戶設定自己的控制項,而不是委派管理員,委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定控制項。

單一帳戶和區域中的跨標準啟用

如果您不使用中央組態或 是自我管理帳戶,則無法使用組態政策在多個帳戶和區域中集中啟用控制項。不過,您可以使用下列步驟,在單一帳戶和區域中啟用控制項。

Security Hub CSPM console
在一個帳戶和區域中啟用跨標準的控制

  1. 開啟位於 https://https://console.aws.amazon.com/securityhub/ 的 AWSSecurity Hub CSPM 主控台。

  2. 從導覽窗格中選擇控制項

  3. 選擇已停用索引標籤。

  4. 選擇控制項旁的選項。

  5. 選擇啟用控制 (此選項不會針對已啟用的控制項顯示)。

  6. 在您要啟用控制項的每個區域中重複此步驟。

Security Hub CSPM API
在一個帳戶和區域中啟用跨標準的控制

  1. 叫用 ListStandardsControlAssociations API。提供安全控制 ID。

    請求範例:

    {
    "SecurityControlId": "IAM.1"
}

  2. 叫用 BatchUpdateStandardsControlAssociations API。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs,請執行 DescribeStandards

  3. AssociationStatus 參數設定為等於 ENABLED。如果您針對已啟用的控制項遵循這些步驟,API 會傳回 HTTP 狀態碼 200 回應。

    請求範例:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. 在您要啟用控制項的每個區域中重複此步驟。

AWS CLI
在一個帳戶和區域中啟用跨標準的控制

  1. 執行 list-standards-control-associations 命令。提供安全控制 ID。

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. 執行 batch-update-standards-control-associations 命令。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs,請執行 describe-standards命令。

  3. AssociationStatus 參數設定為等於 ENABLED。如果您針對已啟用的控制項遵循這些步驟,命令會傳回 HTTP 狀態碼 200 回應。

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. 在您要啟用控制項的每個區域中重複此步驟。