本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
服務受管標準:AWS Control Tower
本節提供有關服務受管標準的資訊:AWS Control Tower。
什麼是服務受管標準:AWS Control Tower?
服務受管標準:AWS Control Tower是一種服務受管標準,可AWS Control Tower管理支援 Security Hub 控制項子集的 。此標準專為 AWSSecurity Hub CSPM 和 的使用者而設計AWS Control Tower。它可讓您從 AWS Control Tower服務設定 Security Hub CSPM 的偵測控制。
Detective 控制可偵測您 內資源的不合規 (例如設定錯誤)AWS 帳戶。
提示
服務受管標準與 AWSSecurity Hub CSPM 管理的標準不同。例如,您必須在管理服務中建立和刪除服務受管標準。如需詳細資訊,請參閱Security Hub CSPM 中的服務受管標準。
當您透過 啟用 Security Hub CSPM 控制時AWS Control Tower,如果尚未啟用,Control Tower 也會在這些特定帳戶和區域中為您啟用 Security Hub CSPM。在 Security Hub CSPM 主控台和 API 中,一旦啟用標準,您就可以檢視服務受管標準:AWS Control Tower以及其他 Security Hub CSPM 標準AWS Control Tower。
如需此標準的詳細資訊,請參閱AWS Control Tower《 使用者指南》中的 Security Hub CSPM 控制項。
建立標準
只有在您從中啟用 Security Hub CSPM 控制項時,此標準才適用於 Security Hub CSPMAWS Control Tower。AWS Control Tower 會在您第一次使用下列其中一種方法啟用適用的控制項時建立標準:
-
AWS Control Tower主控台
-
AWS Control TowerAPI (呼叫
EnableControlAPI) -
AWS CLI(執行
enable-control命令)
當您透過 啟用 Security Hub CSPM 控制時AWS Control Tower,如果您尚未啟用 Security Hub CSPM, AWS Control Tower也會在這些特定帳戶和區域中為您啟用 Security Hub CSPM。
若要透過 Control Catalog 中的控制項 ID 來識別 Security Hub CSPM 控制項,您可以使用 Implementation.Identifier 中的 欄位AWS Control Tower。此欄位會映射至 Security Hub CSPM 控制項 ID,並可用於篩選特定控制項 ID。若要擷取 中特定 Security Hub CSPM 控制項 (例如 "CodeBuild.1") 的控制項中繼資料AWS Control Tower,您可以使用 ListControls API:
aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'
您無法在 Security Hub CSPM 主控台、Security Hub CSPM API 中檢視或存取此標準,或者AWS CLI必須先設定AWS Control Tower和啟用 Security Hub CSPM 控制項AWS Control Tower,才能使用上述其中一種方法。
此標準僅適用於AWS 區域AWS Control Tower提供 的 。
在標準中啟用和停用控制項
在透過 啟用 Security Hub CSPM 控制項,AWS Control Tower並建立服務受管標準:AWS Control Tower標準之後,您可以在 Security Hub CSPM 中檢視標準及其可用的控制項。
當 Security Hub CSPM 將新控制項新增至服務受管標準:AWS Control Tower標準時,不會為已啟用標準的客戶自動啟用這些控制項。您應該使用下列其中一種方法AWS Control Tower,從 啟用和停用標準的控制項:
-
AWS Control Tower主控台
-
AWS Control TowerAPI (呼叫
EnableControl和DisableControlAPIs) -
AWS CLI(執行
enable-control和disable-control命令)
當您在 中變更控制項的啟用狀態時AWS Control Tower,變更也會反映在 Security Hub CSPM 中。
不過,在 Security Hub CSPM 中停用已啟用的控制項AWS Control Tower會導致控制偏離。中的控制項狀態AWS Control Tower會顯示為 Drifted。您可以使用 ResetEnabledControl API 重設偏離中的控制項,或在AWS Control Tower主控台中選取重新註冊 OU,或使用上述AWS Control Tower其中一種方法在 中停用並重新啟用控制項,以解決此偏離。
在 中完成啟用和停用動作AWS Control Tower可協助您避免控制偏離。
當您在 中啟用或停用控制項時AWS Control Tower,動作會套用至受 管理的帳戶和區域AWS Control Tower。如果您在 Security Hub CSPM 中啟用和停用控制項 (不建議用於此標準),則動作僅適用於目前的帳戶和區域。
注意
中央組態無法用於管理服務受管標準:AWS Control Tower。您只能使用 AWS Control Tower服務來啟用和停用此標準中的控制項。
檢視啟用狀態和控制狀態
您可以使用下列其中一種方法來檢視控制項的啟用狀態:
-
Security Hub CSPM 主控台、Security Hub CSPM API 或AWS CLI
-
AWS Control Tower主控台
-
AWS Control Tower用於查看已啟用控制項清單的 API (呼叫
ListEnabledControlsAPI) -
AWS CLI查看已啟用控制項的清單 (執行
list-enabled-controls命令)
您在 中停用的控制項在 Security Hub CSPM Disabled中AWS Control Tower具有 的啟用狀態,除非您在 Security Hub CSPM 中明確啟用該控制項。
Security Hub CSPM 會根據控制調查結果的工作流程狀態和合規狀態來計算控制狀態。如需啟用狀態和控制狀態的詳細資訊,請參閱 檢閱 Security Hub CSPM 中控制項的詳細資訊。
根據控制狀態,Security Hub CSPM 會計算服務受管標準的安全分數:AWS Control Tower。此分數僅適用於 Security Hub CSPM。此外,您只能在 Security Hub CSPM 中檢視控制項問題清單。標準安全分數和控制調查結果無法在 中使用AWS Control Tower。
注意
當您啟用 Service-Managed Standard: 的控制項時AWS Control Tower,Security Hub CSPM 最多可能需要 18 小時才能產生使用現有AWS Config服務連結規則之控制項的問題清單。如果您已在 Security Hub CSPM 中啟用其他標準和控制項,則可能會有現有的服務連結規則。如需詳細資訊,請參閱執行安全檢查的排程。
刪除標準
您可以使用下列其中一種方法停用所有適用的控制項AWS Control Tower,在 中刪除此服務受管標準:
-
AWS Control Tower主控台
-
AWS Control TowerAPI (呼叫
DisableControlAPI) -
AWS CLI(執行
disable-control命令)
停用所有控制項會刪除其中所有受管帳戶和受管區域中的標準AWS Control Tower。刪除 中的標準會將其從 Security Hub CSPM 主控台的標準頁面AWS Control Tower中移除,而且您無法再使用 Security Hub CSPM API 或 存取它AWS CLI。
注意
從 Security Hub CSPM 中的標準停用所有控制項並不會停用或刪除標準。
停用 Security Hub CSPM 服務會移除服務受管標準:AWS Control Tower以及您啟用的任何其他標準。
尋找服務受管標準的欄位格式:AWS Control Tower
當您建立服務受管標準:AWS Control Tower並為其啟用控制項時,您會開始在 Security Hub CSPM 中接收控制項問題清單。Security Hub CSPM 會在 中報告控制問題清單AWS安全調查結果格式 (ASFF)。這些是此標準 Amazon Resource Name (ARN) 和 的 ASFF 值GeneratorId:
-
標準 ARN –
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
如需 Service-Managed Standard: 的範例調查結果AWS Control Tower,請參閱 控制問題清單的範例。
適用於服務受管標準的控制項:AWS Control Tower
服務受管標準:AWS Control Tower支援屬於AWS基礎安全最佳實務 (FSBP) 標準一部分的控制項子集。選擇控制項以檢視相關資訊,包括失敗問題清單的修復步驟。
若要查看 支援哪些 Security Hub CSPM 控制項AWS Control Tower,您可以使用下列其中一種方法:
-
AWS控制目錄主控台,您可以在其中篩選
“Control owner =AWSSecurity Hub” -
AWSControl Catalog API (呼叫
ListControlsAPI) 搭配篩選條件Implementations來檢查Types是AWS::SecurityHub::SecurityControl -
AWS CLI(執行
list-controls命令) 搭配 的篩選條件Implementations。CLI 命令範例:aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'
透過 Control Tower 標準啟用時,Security Hub CSPM 控制項的區域限制可能不符合基礎控制項的區域限制。
在 Security Hub CSPM 中,如果您的帳戶中關閉合併控制調查結果,則產生的調查結果中的 ProductFields.ControlId 欄位會使用標準型控制 ID。標準型控制 ID 的格式為 CT.ControlId (例如 CT.CodeBuild.1)。
如需此標準的詳細資訊,請參閱AWS Control Tower《 使用者指南》中的 Security Hub CSPM 控制項。
