本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Security Hub CSPM 中停用中央組態
當您在 AWS Security Hub CSPM 中停用中央組態時,委派管理員將無法跨多個組織單位 (OUs) 和 設定 Security Hub CSPM AWS 帳戶、安全標準和安全控制 AWS 區域。相反地,您必須為每個區域中的每個帳戶分別設定大多數設定。
當您停用中央組態時,會發生下列變更:
委派管理員無法再為組織建立組態政策。
已套用或繼承組態政策的帳戶會保留其目前的設定,但會自我管理。
您的組織會切換到本機組態。在本機組態下,大多數 Security Hub CSPM 設定都必須在每個組織帳戶和區域中分別設定。委派管理員可以選擇自動啟用 Security Hub CSPM、預設安全標準,以及屬於新組織帳戶中預設標準一部分的所有控制項。預設標準是 AWS 基礎安全最佳實務 (FSBP) 和網際網路安全中心 (CIS) AWS 基準 1.2.0 版。這些設定只會在目前區域中生效,並且只會影響新的組織帳戶。委派管理員無法變更預設的標準。本機組態不支援在 OU 層級使用組態政策或組態。
當您停止使用中央組態時,委派管理員帳戶的身分會保持不變。您的主要區域和連結區域也保持不變 (您的主要區域現在稱為彙總區域,可用於尋找彙總)。
選擇您偏好的方法,然後依照步驟停止使用中央組態並切換到本機組態。
- Security Hub CSPM console
-
- Security Hub CSPM API
-
停用中央組態 (API)
-
叫用 UpdateOrganizationConfiguration API。
-
將 OrganizationConfiguration 物件中的 ConfigurationType 欄位設定為 LOCAL。如果您有現有的組態政策或政策關聯,API 會傳回錯誤。若要取消與組態政策的關聯,請叫用 StartConfigurationPolicyDisassociation API。若要刪除組態政策,請叫用 DeleteConfigurationPolicy API。
-
如果您想要在新的組織帳戶中自動啟用 Security Hub CSPM,請將 AutoEnable 欄位設定為 true。根據預設,此欄位的值為 false,且 Security Hub CSPM 不會在新組織帳戶中自動啟用。或者,如果您想要在新的組織帳戶中自動啟用預設安全標準,請將 AutoEnableStandards 欄位設定為 DEFAULT。這是預設值。如果您不想在新的組織帳戶中自動啟用預設安全標準,請將 AutoEnableStandards 欄位設定為 NONE。
範例 API 請求:
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
- AWS CLI
-
停用中央組態 (AWS CLI)
-
執行 update-organization-configuration 命令。
-
將 organization-configuration 物件中的 ConfigurationType 欄位設定為 LOCAL。如果您有現有的組態政策或政策關聯, 命令會傳回錯誤。若要取消與組態政策的關聯,請執行 start-configuration-policy-disassociation命令。若要刪除組態政策,請執行 delete-configuration-policy命令。
-
如果您想要在新的組織帳戶中自動啟用 Security Hub CSPM,請包含 auto-enable 參數。根據預設,此參數的值為 no-auto-enable,且 Security Hub CSPM 不會在新組織帳戶中自動啟用。或者,如果您想要在新的組織帳戶中自動啟用預設安全標準,請將 auto-enable-standards 欄位設定為 DEFAULT。這是預設值。如果您不想在新的組織帳戶中自動啟用預設安全標準,請將 auto-enable-standards 欄位設定為 NONE。
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
