Deaktivieren eines Sicherheitsstandards in Security Hub - AWS Security Hub
Deaktivierung eines Standards in mehreren Konten und RegionenDeaktivierung eines Standards in einem einzelnen Konto und einer Region

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Deaktivieren eines Sicherheitsstandards in Security Hub

Wenn Sie einen Sicherheitsstandard in Security Hub deaktivieren, passiert Folgendes:

  • Alle Kontrollen, die für den Standard gelten, sind ebenfalls deaktiviert, sofern sie nicht mit einem anderen Standard verknüpft sind.

  • Prüfungen auf die deaktivierten Steuerelemente werden nicht mehr durchgeführt, und es werden keine weiteren Ergebnisse für die deaktivierten Steuerelemente generiert.

  • Bestehende Ergebnisse für deaktivierte Kontrollen werden nach etwa 3—5 Tagen automatisch archiviert.

  • Die AWS Config Regeln, die Security Hub für die deaktivierten Steuerelemente erstellt hat, wurden entfernt.

    Dies geschieht normalerweise innerhalb weniger Minuten, nachdem Sie den Standard deaktiviert haben, kann aber länger dauern. Wenn die erste Anfrage zum Löschen der AWS Config Regeln fehlschlägt, versucht Security Hub es alle 12 Stunden erneut. Wenn Sie Security Hub jedoch deaktiviert haben oder keine anderen Standards aktiviert haben, kann Security Hub die Anfrage nicht erneut versuchen, was bedeutet, dass die AWS Config Regeln nicht gelöscht werden können. Wenn dies der Fall ist und Sie AWS Config Regeln löschen müssen, wenden AWS Support Sie sich an.

Deaktivierung eines Standards in mehreren Konten und Regionen

Um einen Sicherheitsstandard für mehrere Konten und Regionen zu deaktivieren, müssen Sie die zentrale Konfiguration verwenden.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards deaktivieren. Sie können eine Konfigurationsrichtlinie bestimmten Konten OUs und/oder dem Stammkonto zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können sich beispielsweise dafür entscheiden, den Payment Card Industry Data Security Standard (PCIDSS) in einer Organisationseinheit zu deaktivieren, und Sie können wählen, beide PCI DSS sowie das National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 in einer anderen Organisationseinheit zu deaktivieren. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standards deaktiviert, finden Sie unter. Konfigurationsrichtlinien erstellen und zuordnen

Anmerkung

Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um jeden Standard außer dem Service-Managed Standard zu deaktivieren:. AWS Control Tower Sie können diesen Standard nur im Service deaktivieren. AWS Control Tower Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerungen in diesem Standard nur für ein zentral verwaltetes Konto in aktivieren und deaktivieren AWS Control Tower.

Wenn Sie möchten, dass einige Konten ihre eigenen Standards konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Standards in jeder Region separat konfigurieren.

Deaktivierung eines Standards in einem einzelnen Konto und einer Region

Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Standards in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch die folgenden Schritte verwenden, um einen Standard in einem einzelnen Konto und einer Region zu deaktivieren.

Security Hub console
Um einen Standard in einem Konto und einer Region zu deaktivieren

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Vergewissern Sie sich, dass Sie Security Hub in der Region verwenden, in der Sie den Standard deaktivieren möchten.

  3. Wählen Sie im Security Hub-Navigationsbereich die Option Sicherheitsstandards aus.

  4. Wählen Sie für den Standard, den Sie deaktivieren möchten, Disable (Deaktivieren) aus.

  5. Wiederholen Sie dies in jeder Region, in der Sie den Standard deaktivieren möchten.

Security Hub API
Um einen Standard in einem Konto und einer Region zu deaktivieren

  1. Rufen Sie den auf BatchDisableStandards API.

  2. Geben Sie für jeden Standard, den Sie deaktivieren möchten, das Standardabonnement ARN an. Um das Abonnement ARNs für Ihre aktivierten Standards zu erhalten, rufen Sie den GetEnabledStandards API.

  3. Wiederholen Sie dies in jeder Region, in der Sie den Standard deaktivieren möchten.

AWS CLI
Um einen Standard in einem Konto und einer Region zu deaktivieren

  1. Ausführen des sbatch-disable-standardsBefehl.

  2. Geben Sie für jeden Standard, den Sie deaktivieren möchten, das Standardabonnement anARN. Um das Abonnement ARNs für Ihre aktivierten Standards zu erhalten, führen Sie den get-enabled-standardsBefehl.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Beispiel

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Wiederholen Sie den Vorgang in jeder Region, in der Sie den Standard deaktivieren möchten.