Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ein standardübergreifendes Steuerelement deaktivieren
Wir empfehlen, eine standardübergreifende AWS Security Hub CSPM-Steuerung zu deaktivieren, um die Abstimmung in Ihrem gesamten Unternehmen aufrechtzuerhalten. Wenn Sie ein Steuerelement nur in bestimmten Standards deaktivieren, erhalten Sie weiterhin Ergebnisse für das Steuerelement, sofern es in anderen Standards aktiviert ist.
Cross-standard Deaktivierung in mehreren Konten und Regionen
Um eine Sicherheitskontrolle für mehrere AWS-Konten und zu deaktivierenAWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.
Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards deaktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten, Organisationseinheiten oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.
Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass alle AWS CloudTrail Steuerelemente in einer Organisationseinheit und alle IAM-Steuerelemente in einer anderen Organisationseinheit deaktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für den Sicherheitsschutz in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Kontrollen standardübergreifend deaktiviert, finden Sie unter. Konfigurationsrichtlinien erstellen und zuordnen
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Kontrollen in allen Standards außer dem Service-Managed Standard zu verwalten:. AWS Control Tower Die Kontrollen für diesen Standard sollten im AWS Control Tower Service konfiguriert werden.
Wenn Sie möchten, dass einige Konten ihre eigenen Steuerungen konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Self-managed Konten müssen die Steuerungen in jeder Region separat konfigurieren.
Cross-standard Deaktivierung in einem einzigen Konto und einer Region
Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch eine Steuerung für ein einzelnes Konto und eine Region deaktivieren.
- Security Hub CSPM console
-
Um ein standardübergreifendes Steuerelement in einem Konto und einer Region zu deaktivieren
Öffnen Sie die AWS Security Hub CSPM-Konsole unter. https://console.aws.amazon.com/securityhub/
-
Wählen Sie im Navigationsbereich Controls aus.
-
Wählen Sie die Option neben einem Steuerelement aus.
-
Wählen Sie Steuerung deaktivieren. Diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist.
-
Wählen Sie einen Grund für die Deaktivierung des Steuerelements aus und bestätigen Sie, indem Sie Deaktivieren wählen.
-
Wiederholen Sie dies in jeder Region, in der Sie das Steuerelement deaktivieren möchten.
- Security Hub CSPM API
-
Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren
-
Rufen Sie die ListStandardsControlAssociationsAPI auf. Geben Sie eine Sicherheitskontroll-ID an.
Beispiel für eine Anfrage:
{
"SecurityControlId": "IAM.1"
}
-
Rufen Sie die BatchUpdateStandardsControlAssociationsAPI auf. Geben Sie den ARN aller Standards an, in denen das Steuerelement aktiviert ist. Um Standard-ARNs zu erhalten, führen Sie DescribeStandardsden Befehl aus.
-
Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.
Beispiel für eine Anfrage:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}
-
Wiederholen Sie dies in jeder Region, in der Sie das Steuerelement deaktivieren möchten.
- AWS CLI
-
Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren
-
Führen Sie den Befehl list-standards-control-associations aus. Geben Sie eine ID für die Sicherheitskontrolle ein.
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
-
Führen Sie den Befehl batch-update-standards-control-associations aus. Geben Sie den ARN aller Standards an, in denen das Steuerelement aktiviert ist. Führen Sie den describe-standards Befehl aus, um Standard-ARNs zu erhalten.
-
Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
-
Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.