Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Security Hub CSPM aktivieren
<a name="securityhub-settingup"></a>

Es gibt zwei Möglichkeiten, AWS Security Hub CSPM zu aktivieren: durch Integration mit AWS Organizations oder manuell.

Wir empfehlen dringend die Integration mit Organizations für Umgebungen mit mehreren Konten und mehreren Regionen. Wenn Sie ein eigenständiges Konto haben, müssen Sie Security Hub CSPM manuell einrichten.

## Überprüfung der erforderlichen Berechtigungen
<a name="securityhub-setup-permissions"></a>

Nachdem Sie sich für Amazon Web Services (AWS) angemeldet haben, müssen Sie Security Hub CSPM aktivieren, um dessen Funktionen und Funktionen nutzen zu können. Um Security Hub CSPM zu aktivieren, müssen Sie zunächst Berechtigungen einrichten, die Ihnen den Zugriff auf die Security Hub CSPM-Konsole und API-Operationen ermöglichen. Sie oder Ihr AWS Administrator können dies tun, indem Sie AWS Identity and Access Management (IAM) verwenden, um die AWS verwaltete Richtlinie, die aufgerufen wird`AWSSecurityHubFullAccess`, an Ihre IAM-Identität anzuhängen.

Um Security Hub CSPM über die Organizationsintegration zu aktivieren und zu verwalten, sollten Sie auch die angegebene AWS verwaltete Richtlinie anhängen. `AWSSecurityHubOrganizationsAccess`

Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für Security Hub](security-iam-awsmanpol.md).

## Aktivierung von Security Hub CSPM mit Unternehmensintegration
<a name="securityhub-orgs-setup-overview"></a>

Um Security Hub CSPM mit zu verwenden AWS Organizations, bestimmt das AWS Organizations Verwaltungskonto für die Organisation ein Konto als delegiertes Security Hub CSPM-Administratorkonto für die Organisation. Security Hub CSPM wird automatisch im delegierten Administratorkonto in der aktuellen Region aktiviert.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Benennung des delegierten Administrators.

------
#### [ Security Hub CSPM console ]

**So bestimmen Sie beim Onboarding den delegierten Security Hub CSPM-Administrator**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie **Gehe zu Security Hub CSPM**. Sie werden aufgefordert, sich beim Verwaltungskonto der Organizations anzumelden.

1. Geben Sie auf der Seite **Delegierten Administrator benennen** im Abschnitt **Delegiertes Administratorkonto** das delegierte Administratorkonto an. Wir empfehlen, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben.

1. Wählen Sie Als **delegierten Administrator festlegen** aus.

------
#### [ Security Hub CSPM API ]

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)API über das Verwaltungskonto der Organizations auf. Geben Sie die AWS-Konto ID des delegierten Security Hub-CSPM-Administratorkontos an.

------
#### [ AWS CLI ]

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)Befehl über das Verwaltungskonto der Organizations. Geben Sie die AWS-Konto ID des delegierten Security Hub-CSPM-Administratorkontos an.

**Beispielbefehl:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Weitere Informationen zur Integration mit Organizations finden Sie unter[Integration von Security Hub CSPM mit AWS Organizations](designate-orgs-admin-account.md).

### Zentrale Konfiguration
<a name="securityhub-central-config"></a>

Wenn Sie Security Hub CSPM und Organizations integrieren, haben Sie die Möglichkeit, eine Funktion namens [zentrale Konfiguration](central-configuration-intro.md) zu verwenden, um Security Hub CSPM für Ihr Unternehmen einzurichten und zu verwalten. Wir empfehlen dringend, die zentrale Konfiguration zu verwenden, da der Administrator so den Sicherheitsschutz für das Unternehmen anpassen kann. Gegebenenfalls kann der delegierte Administrator einem Mitgliedskonto gestatten, seine eigenen Sicherheitseinstellungen zu konfigurieren.

Die zentrale Konfiguration ermöglicht es dem delegierten Administrator, Security Hub CSPM kontenübergreifend, OUs und zu konfigurieren. AWS-Regionen Der delegierte Administrator konfiguriert Security Hub CSPM, indem er Konfigurationsrichtlinien erstellt. In einer Konfigurationsrichtlinie können Sie die folgenden Einstellungen angeben:
+ Ob Security Hub CSPM aktiviert oder deaktiviert ist
+ Welche Sicherheitsstandards sind aktiviert und deaktiviert
+ Welche Sicherheitskontrollen sind aktiviert und deaktiviert
+ Ob Parameter für ausgewählte Steuerelemente angepasst werden sollen

Als delegierter Administrator können Sie eine einzige Konfigurationsrichtlinie für Ihre gesamte Organisation oder verschiedene Konfigurationsrichtlinien für Ihre verschiedenen Konten und OUs erstellen. Beispielsweise können Testkonten und Produktionskonten unterschiedliche Konfigurationsrichtlinien verwenden.

Mitgliedskonten OUs , die eine Konfigurationsrichtlinie verwenden, werden *zentral verwaltet* und können nur vom delegierten Administrator konfiguriert werden. Der delegierte Administrator kann bestimmte Mitgliedskonten OUs als *selbstverwaltete* Konten festlegen, sodass das Mitglied seine eigenen Einstellungen auf dieser Grundlage konfigurieren kann. Region-by-Region

Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie Security Hub CSPM für jedes Konto und jede Region weitgehend separat konfigurieren. Dies wird als [lokale](local-configuration.md) Konfiguration bezeichnet. Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub CSPM und eine begrenzte Anzahl von Sicherheitsstandards automatisch in neuen Unternehmenskonten in der aktuellen Region aktivieren. Die lokale Konfiguration gilt nicht für bestehende Organisationskonten oder für andere Regionen als die aktuelle Region. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.

## Manuelles Aktivieren von Security Hub CSPM
<a name="securityhub-manual-setup-overview"></a>

Sie müssen Security Hub CSPM manuell aktivieren, wenn Sie ein eigenständiges Konto haben oder wenn Sie es nicht integrieren. AWS Organizations Eigenständige Konten können nicht integriert werden AWS Organizations und müssen manuell aktiviert werden.

Wenn Sie Security Hub CSPM manuell aktivieren, legen Sie ein Security Hub CSPM-Administratorkonto fest und laden andere Konten ein, Mitgliedskonten zu werden. Die Beziehung zwischen Administrator und Mitglied wird hergestellt, wenn ein potenzielles Mitgliedskonto die Einladung annimmt.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Security Hub CSPM zu aktivieren. Wenn Sie Security Hub CSPM von der Konsole aus aktivieren, haben Sie auch die Möglichkeit, die unterstützten Sicherheitsstandards zu aktivieren.

------
#### [ Security Hub CSPM console ]

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Wenn Sie die Security Hub CSPM-Konsole zum ersten Mal öffnen, wählen Sie **Gehe zu Security Hub** CSPM.

1. Auf der Willkommensseite werden im Abschnitt **Sicherheitsstandards** die Sicherheitsstandards aufgeführt, die Security Hub CSPM unterstützt.

   Aktivieren Sie das Kontrollkästchen für einen Standard, um ihn zu aktivieren, und deaktivieren Sie das Kontrollkästchen, um ihn zu deaktivieren.

   Sie können einen Standard oder seine einzelnen Steuerelemente jederzeit aktivieren oder deaktivieren. Informationen zur Verwaltung von Sicherheitsstandards finden Sie unter[Sicherheitsstandards in Security Hub CSPM verstehen](standards-view-manage.md).

1. Wählen Sie **Enable Security Hub (Security Hub aktivieren)**.

------
#### [ Security Hub CSPM API ]

Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html)API auf. Wenn Sie Security Hub CSPM über die API aktivieren, werden automatisch die folgenden Standardsicherheitsstandards aktiviert:
+ AWS Bewährte grundlegende Sicherheitsmethoden
+ Benchmark v1.2.0 für die AWS Grundlagen des Zentrums für Internetsicherheit (CIS)

Wenn Sie diese Standards nicht aktivieren möchten, setzen Sie `EnableDefaultStandards` auf `false`.

Sie können den `Tags` Parameter auch verwenden, um der Hub-Ressource Tag-Werte zuzuweisen.

------
#### [ AWS CLI ]

Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) aus. Um die Standardstandards zu aktivieren, schließen Sie ein`--enable-default-standards`. Um die Standardstandards nicht zu aktivieren, fügen Sie hinzu`--no-enable-default-standards`. Die Standardsicherheitsstandards lauten wie folgt:
+ AWS Bewährte grundlegende Sicherheitsmethoden
+ Benchmark v1.2.0 für die AWS Grundlagen des Zentrums für Internetsicherheit (CIS)

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Beispiel**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Skript zur Aktivierung mehrerer Konten
<a name="securityhub-enable-multiaccount-script"></a>

**Anmerkung**  
Anstelle dieses Skripts empfehlen wir, die zentrale Konfiguration zu verwenden, um Security Hub CSPM für mehrere Konten und Regionen zu aktivieren und zu konfigurieren. 

Das [Security Hub CSPM-Skript zur Aktivierung mehrerer Konten in GitHub ermöglicht es Ihnen, Security Hub CSPM](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) konto- und regionsübergreifend zu aktivieren. Das Skript automatisiert auch den Prozess des Versendens von Einladungen an Mitgliedskonten und der Aktivierung. AWS Config

Das Skript aktiviert automatisch die AWS Config Ressourcenaufzeichnung für alle Ressourcen, einschließlich globaler Ressourcen, in allen Regionen. Es beschränkt die Aufzeichnung globaler Ressourcen nicht auf eine einzelne Region. Um Kosten zu sparen, empfehlen wir, globale Ressourcen nur in einer einzigen Region zu erfassen. Wenn Sie eine zentrale Konfiguration oder regionsübergreifende Aggregation verwenden, sollte dies Ihre Heimatregion sein. Weitere Informationen finden Sie unter [Ressourcen aufzeichnen in AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Es gibt ein entsprechendes Skript, um Security Hub CSPM konto- und regionsübergreifend zu deaktivieren.

## Nächste Schritte: Posture-Management und Integrationen
<a name="securityhub-enable-next-steps"></a>

Nach der Aktivierung von Security Hub CSPM empfehlen wir, Sicherheitsstandards und -kontrollen zu aktivieren, um Ihren Sicherheitsstatus zu überwachen. Nachdem Sie die Kontrollen aktiviert haben, beginnt Security Hub CSPM mit der Durchführung von Sicherheitsprüfungen und generiert Kontrollergebnisse, anhand derer Sie Fehlkonfigurationen in Ihrer Umgebung erkennen können. AWS Um Kontrollergebnisse zu erhalten, müssen Sie Security Hub AWS Config CSPM aktivieren und konfigurieren. Weitere Informationen finden Sie unter [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md).

Nachdem Sie Security Hub CSPM aktiviert haben, können Sie auch Integrationen zwischen Security Hub CSPM und anderen AWS-Services Lösungen und Lösungen von Drittanbietern nutzen, um deren Ergebnisse in Security Hub CSPM zu sehen. Security Hub CSPM aggregiert Ergebnisse aus verschiedenen Quellen und nimmt sie in einem konsistenten Format auf. Weitere Informationen finden Sie unter [Integrationen in Security Hub CSPM verstehen](securityhub-findings-providers.md). 

# Aktivierung und Konfiguration AWS Config für Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM verwendet AWS Config Regeln, um Sicherheitsüberprüfungen durchzuführen und Ergebnisse für die meisten Kontrollen zu generieren. AWS Config bietet einen detaillierten Überblick über die Konfiguration der AWS Ressourcen in Ihrem. AWS-Konto Es verwendet Regeln, um eine Basiskonfiguration für Ihre Ressourcen festzulegen, und einen Konfigurationsrekorder, um festzustellen, ob eine bestimmte Ressource gegen die Bedingungen einer Regel verstößt.

Einige Regeln, die als AWS Config verwaltete Regeln bezeichnet werden, sind vordefiniert und wurden von AWS Config entwickelt. Andere Regeln sind benutzerdefinierte AWS Config Regeln, die Security Hub CSPM entwickelt. AWS Config Regeln, die Security Hub CSPM für Kontrollen verwendet, werden als *dienstbezogene* Regeln bezeichnet. Serviceverknüpfte Regeln ermöglichen es AWS-Services beispielsweise Security Hub CSPM, AWS Config Regeln in Ihrem Konto zu erstellen. 

Um Kontrollergebnisse in Security Hub CSPM zu erhalten, müssen Sie die Aktivierung AWS Config für Ihr Konto vornehmen. Sie müssen auch die Ressourcenaufzeichnung für die Ressourcentypen aktivieren, die mit aktivierten Kontrollen ausgewertet werden. Security Hub CSPM kann dann die entsprechenden AWS Config Regeln für die Kontrollen erstellen und mit der Durchführung von Sicherheitsprüfungen beginnen und Ergebnisse für die Kontrollen generieren.

**Topics**
+ [

## Überlegungen vor der Aktivierung und Konfiguration AWS Config
](#securityhub-prereq-config)
+ [

## Ressourcen aufzeichnen in AWS Config
](#config-resource-recording)
+ [

## Möglichkeiten zur Aktivierung und Konfiguration AWS Config
](#config-how-to-enable)
+ [

## Das Config.1-Steuerelement verstehen
](#config-1-overview)
+ [

## Generierung dienstbezogener Regeln
](#securityhub-standards-generate-awsconfigrules)
+ [

## Kostenüberlegungen
](#config-cost-considerations)

## Überlegungen vor der Aktivierung und Konfiguration AWS Config
<a name="securityhub-prereq-config"></a>

Um Kontrollergebnisse in Security Hub CSPM zu erhalten, AWS Config muss es für Ihr Konto in allen Ländern aktiviert sein, in AWS-Region denen Security Hub CSPM aktiviert ist. Wenn Sie Security Hub CSPM für eine Umgebung mit mehreren Konten verwenden, AWS Config muss es in jeder Region für das Administratorkonto und alle Mitgliedskonten aktiviert sein.

Wir empfehlen dringend, die Ressourcenaufzeichnung zu aktivieren, AWS Config *bevor* Sie die Security Hub CSPM-Standards und -Steuerelemente aktivieren. Auf diese Weise können Sie sicherstellen, dass Ihre Kontrollergebnisse korrekt sind.

Um die Ressourcenaufzeichnung in zu aktivieren AWS Config, müssen Sie über ausreichende Berechtigungen zum Aufzeichnen von Ressourcen in der AWS Identity and Access Management (IAM) -Rolle verfügen, die dem Konfigurationsrekorder zugeordnet ist. Stellen Sie außerdem sicher, dass keine IAM-Richtlinien oder AWS Organizations -Richtlinien AWS Config verhindern, dass Sie berechtigt sind, Ihre Ressourcen aufzuzeichnen. Die CSPM-Steuerungen von Security Hub werten Ressourcenkonfigurationen direkt aus und berücksichtigen keine AWS Organizations Richtlinien. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

Wenn Sie einen Standard in Security Hub CSPM aktivieren, ihn aber nicht aktiviert haben AWS Config, versucht Security Hub CSPM, serviceverknüpfte AWS Config Regeln gemäß dem folgenden Zeitplan zu erstellen:
+ An dem Tag, an dem Sie den Standard aktivieren.
+ Am Tag, nachdem Sie den Standard aktiviert haben.
+ 3 Tage, nachdem Sie den Standard aktiviert haben.
+ 7 Tage nach der Aktivierung des Standards und danach kontinuierlich alle 7 Tage.

Wenn Sie die zentrale Konfiguration verwenden, versucht Security Hub CSPM jedes Mal, servicebezogene AWS Config Regeln zu erstellen, wenn Sie Konten, Organisationseinheiten (OUs) oder dem Stamm eine Konfigurationsrichtlinie zuordnen, die einen oder mehrere Standards aktiviert.

## Ressourcen aufzeichnen in AWS Config
<a name="config-resource-recording"></a>

Bei der Aktivierung müssen Sie angeben AWS Config, welche AWS Ressourcen der AWS Config Konfigurationsrekorder aufzeichnen soll. Durch die serviceverknüpften Regeln ermöglicht der Konfigurationsrekorder Security Hub CSPM, Änderungen an Ihren Ressourcenkonfigurationen zu erkennen.

Damit Security Hub CSPM genaue Kontrollergebnisse generiert, müssen Sie die Aufzeichnung AWS Config für die Ressourcentypen aktivieren, die Ihren aktivierten Kontrollen entsprechen. Es handelt sich in erster Linie um aktivierte Steuerelemente mit einem *durch Änderung ausgelösten* Zeitplantyp, für den Ressourcen aufgezeichnet werden müssen. Für einige Steuerelemente mit einem *periodischen* Zeitplan ist auch die Erfassung von Ressourcen erforderlich. Eine Liste dieser Steuerelemente und der entsprechenden Ressourcen finden Sie unter[Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md).

**Warnung**  
Wenn Sie die AWS Config Aufzeichnung für Security Hub CSPM-Steuerungen nicht korrekt konfigurieren, kann dies zu ungenauen Kontrollergebnissen führen, insbesondere in den folgenden Fällen:  
Sie haben die Ressource für ein bestimmtes Steuerelement nie aufgezeichnet, oder Sie haben die Aufzeichnung einer Ressource deaktiviert, bevor Sie diesen Ressourcentyp erstellt haben. In diesen Fällen erhalten Sie einen `WARNING` Befund für das fragliche Steuerelement, obwohl Sie möglicherweise Ressourcen im Bereich des Steuerelements erstellt haben, nachdem Sie die Aufzeichnung deaktiviert haben. Bei diesem `WARNING` Ergebnis handelt es sich um ein Standardergebnis, bei dem der Konfigurationsstatus der Ressource nicht wirklich bewertet wird.
Sie deaktivieren die Aufzeichnung für eine Ressource, die von einem bestimmten Steuerelement ausgewertet wird. In diesem Fall behält Security Hub CSPM die Kontrollergebnisse bei, die generiert wurden, bevor Sie die Aufzeichnung deaktiviert haben, obwohl das Steuerelement keine neuen oder aktualisierten Ressourcen auswertet. Security Hub CSPM ändert auch den Compliance-Status der Ergebnisse auf. `WARNING` Diese gespeicherten Ergebnisse geben möglicherweise nicht genau den aktuellen Konfigurationsstatus einer Ressource wieder.

 AWS Config Zeichnet standardmäßig alle unterstützten *regionalen Ressourcen* auf, die es in der Umgebung entdeckt, AWS-Region in der es ausgeführt wird. Um alle Ergebnisse der Security Hub CSPM-Kontrolle zu erhalten, müssen Sie auch die Aufzeichnung *globaler AWS Config * Ressourcen konfigurieren. Um Kosten zu sparen, empfehlen wir, globale Ressourcen nur in einer einzigen Region zu erfassen. Wenn Sie die zentrale Konfiguration oder die regionsübergreifende Aggregation verwenden, sollte diese Region Ihre Heimatregion sein.

In AWS Config können Sie zwischen *kontinuierlicher Aufzeichnung und *täglicher Aufzeichnung** von Änderungen des Ressourcenstatus wählen. Wenn Sie sich für die tägliche Aufzeichnung AWS Config entscheiden, werden die Ressourcenkonfigurationsdaten am Ende jedes 24-Stunden-Zeitraums bereitgestellt, wenn sich der Ressourcenstatus ändert. Wenn es keine Änderungen gibt, werden keine Daten geliefert. Dies kann die Generierung von Security Hub CSPM-Ergebnissen für durch Änderungen ausgelöste Kontrollen verzögern, bis ein Zeitraum von 24 Stunden abgeschlossen ist.

*Weitere Informationen zur AWS Config Aufzeichnung finden Sie im Entwicklerhandbuch unter Ressourcen [aufzeichnen AWS](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).AWS Config *

## Möglichkeiten zur Aktivierung und Konfiguration AWS Config
<a name="config-how-to-enable"></a>

Sie können die Ressourcenaufzeichnung auf eine der folgenden Arten aktivieren AWS Config und aktivieren:
+ **AWS Config Konsole** — Sie können AWS Config die Aktivierung für ein Konto über die AWS Config Konsole vornehmen. Anweisungen finden Sie im *AWS Config Entwicklerhandbuch* unter [Einrichtung AWS Config mit der Konsole](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html).
+ **AWS CLI oder SDKs** — Sie können AWS Config die Aktivierung für ein Konto mithilfe von AWS Command Line Interface (AWS CLI) vornehmen. Eine Anleitung dazu finden Sie unter [Einrichtung AWS Config mit dem AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) im *AWS Config Entwicklerhandbuch*. AWS Software Development Kits (SDKs) sind auch für viele Programmiersprachen verfügbar.
+ **CloudFormation Vorlage** — Zur Aktivierung AWS Config für viele Konten empfehlen wir, die AWS CloudFormation Vorlage mit dem Namen **Enable** zu verwenden AWS Config. Informationen zum Zugriff auf diese Vorlage finden Sie in den [AWS CloudFormation StackSet Beispielvorlagen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) im *AWS CloudFormation Benutzerhandbuch*.

  Standardmäßig schließt diese Vorlage Aufzeichnungen für globale IAM-Ressourcen aus. Stellen Sie sicher, dass Sie die Aufzeichnung für globale IAM-Ressourcen nur in einer Version aktivieren, um Aufzeichnungskosten AWS-Region zu sparen. Wenn Sie die regionsübergreifende Aggregation aktiviert haben, sollte dies Ihre [Security Hub CSPM-Heimatregion](finding-aggregation.md) sein. Andernfalls kann es sich um jede Region handeln, in der Security Hub CSPM verfügbar ist und die Aufzeichnung globaler IAM-Ressourcen unterstützt. Wir empfehlen, eine StackSet zu starten, um alle Ressourcen, einschließlich globaler IAM-Ressourcen, in der Heimatregion oder einer anderen ausgewählten Region aufzuzeichnen. Führen Sie dann eine Sekunde aus, StackSet um alle Ressourcen außer den globalen IAM-Ressourcen in anderen Regionen aufzuzeichnen.
+ **GitHub script** — Security Hub CSPM bietet ein [GitHubSkript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts), das Security Hub CSPM aktiviert, und zwar AWS Config für mehrere Konten in verschiedenen Regionen. Dieses Skript ist nützlich, wenn Sie es nicht integriert haben oder wenn Sie einige Mitgliedskonten haben AWS Organizations, die nicht Teil einer Organisation sind.

Weitere Informationen finden Sie im folgenden Blogbeitrag im *AWS Sicherheitsblog: Optimieren Sie AWS Config für AWS Security* [Hub CSPM, um Ihre Cloud-Sicherheitslage effektiv zu verwalten](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Das Config.1-Steuerelement verstehen
<a name="config-1-overview"></a>

In Security Hub CSPM generiert das [Config.1-Steuerelement](config-controls.md#config-1) `FAILED` Ergebnisse in Ihrem Konto, wenn AWS Config es deaktiviert ist. Es generiert auch `FAILED` Ergebnisse in Ihrem Konto, wenn es aktiviert AWS Config ist, aber die Ressourcenaufzeichnung nicht aktiviert ist. 

Wenn aktiviert AWS Config ist und die Ressourcenaufzeichnung aktiviert ist, die Ressourcenaufzeichnung jedoch nicht für einen Ressourcentyp aktiviert ist, den ein aktiviertes Steuerelement überprüft, generiert Security Hub CSPM einen `FAILED` Befund für das Config.1-Steuerelement. Zusätzlich zu diesem `FAILED` Ergebnis generiert Security Hub CSPM `WARNING` Ergebnisse für das aktivierte Steuerelement und die Arten von Ressourcen, die das Steuerelement überprüft. Wenn Sie beispielsweise das [KMS.5-Steuerelement](kms-controls.md#kms-5) aktivieren und die Ressourcenaufzeichnung nicht aktiviert ist AWS KMS keys, generiert Security Hub CSPM einen `FAILED` Befund für das Config.1-Steuerelement. Security Hub CSPM generiert auch `WARNING` Ergebnisse für das KMS.5-Steuerelement und Ihre KMS-Schlüssel.

Um ein `PASSED` Ergebnis für das Config.1-Steuerelement zu erhalten, aktivieren Sie die Ressourcenaufzeichnung für alle Ressourcentypen, die den aktivierten Steuerelementen entsprechen. Deaktivieren Sie außerdem Steuerelemente, die für Ihre Organisation nicht erforderlich sind. Auf diese Weise können Sie sicherstellen, dass Ihre Sicherheitskontrollen keine Konfigurationslücken aufweisen. Auf diese Weise können Sie auch sicherstellen, dass Sie genaue Informationen zu falsch konfigurierten Ressourcen erhalten.

Wenn Sie der delegierte Security Hub CSPM-Administrator für eine Organisation sind, muss die AWS Config Aufzeichnung für Ihr Konto und Ihre Mitgliedskonten korrekt konfiguriert sein. Wenn Sie die regionsübergreifende Aggregation verwenden, muss die AWS Config Aufzeichnung in der Heimatregion und allen verknüpften Regionen korrekt konfiguriert sein. Globale Ressourcen müssen nicht in verknüpften Regionen aufgezeichnet werden.

## Generierung dienstbezogener Regeln
<a name="securityhub-standards-generate-awsconfigrules"></a>

Für jedes Steuerelement, das eine serviceverknüpfte AWS Config Regel verwendet, erstellt Security Hub CSPM Instanzen der erforderlichen Regel in Ihrer Umgebung. AWS 

Diese serviceverknüpften Regeln sind spezifisch für Security Hub CSPM. Security Hub CSPM erstellt diese serviceverknüpften Regeln auch dann, wenn bereits andere Instanzen derselben Regeln existieren. Bei der serviceverknüpften Regel wird `securityhub` vor dem ursprünglichen Regelnamen und nach dem Regelnamen ein eindeutiger Bezeichner hinzugefügt. Für die AWS Config verwaltete Regel `vpc-flow-logs-enabled` könnte der Name der serviceverknüpften Regel beispielsweise lauten. `securityhub-vpc-flow-logs-enabled-12345`

Es gibt Kontingente für die Anzahl der AWS Config verwalteten Regeln, die zur Bewertung von Kontrollen verwendet werden können. AWS Config Regeln, die Security Hub CSPM erstellt, werden nicht auf diese Kontingente angerechnet. Sie können einen Sicherheitsstandard aktivieren, auch wenn Sie das AWS Config Kontingent für verwaltete Regeln in Ihrem Konto bereits erreicht haben. Weitere Informationen zu Kontingenten für AWS Config Regeln finden Sie unter [Dienstbeschränkungen für AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) im *AWS Config Entwicklerhandbuch*.

## Kostenüberlegungen
<a name="config-cost-considerations"></a>

Security Hub CSPM kann sich auf Ihre Kosten für den AWS Config Konfigurationsrekorder auswirken, indem das `AWS::Config::ResourceCompliance` Konfigurationselement aktualisiert wird. Updates können jedes Mal erfolgen, wenn ein Security Hub CSPM-Steuerelement, das einer AWS Config Regel zugeordnet ist, den Konformitätsstatus ändert, aktiviert oder deaktiviert wird oder Parameter-Updates enthält. Wenn Sie den AWS Config Konfigurationsrekorder nur für Security Hub CSPM verwenden und dieses Konfigurationselement nicht für andere Zwecke verwenden, empfehlen wir, die Aufzeichnung dafür in zu deaktivieren. AWS Config Dies kann Ihre AWS Config Kosten senken. Sie müssen keine Aufzeichnungen machen, `AWS::Config::ResourceCompliance` damit Sicherheitsüberprüfungen in Security Hub CSPM funktionieren.

[Informationen zu den Kosten im Zusammenhang mit der Ressourcenaufzeichnung finden Sie unter [AWS Security Hub CSPM — Preise und AWS Config Preise](https://aws.amazon.com/security-hub/pricing/).](https://aws.amazon.com/config/pricing/)

# Grundlegendes zur lokalen Konfiguration in Security Hub CSPM
<a name="local-configuration"></a>

Die lokale Konfiguration ist die Standardmethode, mit der eine AWS Organisation in Security Hub CSPM konfiguriert wird. Wenn Sie sich nicht für die zentrale Konfiguration entscheiden und diese aktivieren, verwendet Ihre Organisation standardmäßig die lokale Konfiguration.

Bei der lokalen Konfiguration hat das delegierte Security Hub CSPM-Administratorkonto eingeschränkte Kontrolle über die Konfigurationseinstellungen. Die einzigen Einstellungen, die der delegierte Administrator durchsetzen kann, sind die automatische Aktivierung von Security Hub CSPM und Standardsicherheitsstandards in neuen Unternehmenskonten. Diese Einstellungen gelten nur in der Region, in der Sie das delegierte Administratorkonto angegeben haben. Die Standardsicherheitsstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Lokale Konfigurationseinstellungen gelten nicht für bestehende Organisationskonten oder für andere Regionen als die, für die das delegierte Administratorkonto eingerichtet wurde.

Neben der Aktivierung von Security Hub CSPM und Standardstandards in neuen Organisationskonten in einer einzelnen Region müssen Sie andere Security Hub CSPM-Einstellungen, einschließlich Standards und Kontrollen, für jede Region und jedes Konto separat konfigurieren. Da dies ein doppelter Vorgang sein kann, empfehlen wir, die zentrale Konfiguration für eine Umgebung mit mehreren Konten zu verwenden, wenn eine oder mehrere der folgenden Bedingungen auf Sie zutreffen:
+ Sie möchten unterschiedliche Konfigurationseinstellungen für verschiedene Teile Ihrer Organisation (z. B. unterschiedliche aktivierte Standards oder Kontrollen für verschiedene Teams).
+ Sie sind in mehreren Regionen tätig und möchten den Zeitaufwand und die Komplexität der Konfiguration des Dienstes in diesen Regionen reduzieren.
+ Sie möchten, dass neue Konten bestimmte Konfigurationseinstellungen verwenden, wenn sie der Organisation beitreten.
+ Sie möchten, dass Unternehmenskonten bestimmte Konfigurationseinstellungen von einem übergeordneten Konto oder einem Stammkonto erben.

Hinweise zur zentralen Konfiguration finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

# Grundlegendes zur zentralen Konfiguration in Security Hub CSPM
<a name="central-configuration-intro"></a>

Die zentrale Konfiguration ist eine AWS Security Hub CSPM-Funktion, mit der Sie Security Hub CSPM für mehrere und einrichten und verwalten können. AWS-Konten AWS-Regionen Um die zentrale Konfiguration zu verwenden, müssen Sie zuerst Security Hub CSPM und integrieren. AWS Organizations Sie können die Dienste integrieren, indem Sie eine Organisation erstellen und ein delegiertes Security Hub CSPM-Administratorkonto für die Organisation festlegen.

Über das delegierte Security Hub CSPM-Administratorkonto können Sie Security Hub CSPM für die Konten und Organisationseinheiten () Ihrer Organisation in allen Regionen aktivieren. OUs Sie können auch individuelle Sicherheitsstandards und Sicherheitskontrollen für Konten und regionsübergreifend aktivieren, konfigurieren und deaktivieren. OUs Sie können diese Einstellungen in nur wenigen Schritten von einer Hauptregion aus konfigurieren, die als *Heimatregion* bezeichnet wird.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator auswählen, welche Konten konfiguriert werden OUs sollen. Wenn der delegierte Administrator ein Mitgliedskonto oder eine Organisationseinheit als *selbstverwaltetes* Konto festlegt, kann das Mitglied seine eigenen Einstellungen in jeder Region separat konfigurieren. Wenn der delegierte Administrator ein Mitgliedskonto oder eine Organisationseinheit als *zentral verwaltet* festlegt, kann nur der delegierte Administrator das Mitgliedskonto oder die Organisationseinheit regionsübergreifend konfigurieren. Sie können alle Konten OUs in Ihrer Organisation als zentral verwaltet, alle selbstverwaltet oder als eine Kombination aus beidem festlegen.

Um zentral verwaltete Konten zu konfigurieren, verwendet der delegierte Administrator die Security Hub CSPM-Konfigurationsrichtlinien. Mithilfe von Konfigurationsrichtlinien kann der delegierte Administrator angeben, ob Security Hub CSPM aktiviert oder deaktiviert ist und welche Standards und Kontrollen aktiviert oder deaktiviert sind. Sie können auch verwendet werden, um Parameter für bestimmte Steuerelemente anzupassen.

Konfigurationsrichtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Der delegierte Administrator gibt die Heimatregion der Organisation und die verknüpften Regionen an, bevor er die zentrale Konfiguration verwendet. Die Angabe verknüpfter Regionen ist optional. Der delegierte Administrator kann eine einzige Konfigurationsrichtlinie für die gesamte Organisation oder mehrere Konfigurationsrichtlinien erstellen, um variable Einstellungen für verschiedene Konten und OUs zu konfigurieren.

**Tipp**  
Wenn Sie keine zentrale Konfiguration verwenden, müssen Sie Security Hub CSPM für jedes Konto und jede Region weitgehend separat konfigurieren. Dies wird als *lokale* Konfiguration bezeichnet. Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub CSPM und eine begrenzte Anzahl von Sicherheitsstandards automatisch in neuen Unternehmenskonten in der aktuellen Region aktivieren. Die lokale Konfiguration gilt nicht für bestehende Organisationskonten oder für andere Regionen als die aktuelle Region. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.

Dieser Abschnitt bietet einen Überblick über die zentrale Konfiguration.

## Vorteile der Verwendung der zentralen Konfiguration
<a name="central-configuration-benefits"></a>

Die zentrale Konfiguration bietet unter anderem folgende Vorteile:

**Vereinfachen Sie die Konfiguration des Security Hub CSPM-Dienstes und der Funktionen**  
Wenn Sie die zentrale Konfiguration verwenden, führt Sie Security Hub CSPM durch den Prozess der Konfiguration bewährter Sicherheitsmethoden für Ihr Unternehmen. Außerdem werden die daraus resultierenden Konfigurationsrichtlinien automatisch für bestimmte Konten bereitgestellt. OUs Wenn Sie über bestehende Security Hub CSPM-Einstellungen verfügen, z. B. die automatische Aktivierung neuer Sicherheitskontrollen, können Sie diese als Ausgangspunkt für Ihre Konfigurationsrichtlinien verwenden. Darüber hinaus wird auf der **Konfigurationsseite** der Security Hub CSPM-Konsole in Echtzeit eine Zusammenfassung Ihrer Konfigurationsrichtlinien angezeigt und angegeben, welche Konten und welche Richtlinien OUs verwendet werden.

**Konten- und regionsübergreifend konfigurieren**  
Sie können die zentrale Konfiguration verwenden, um Security Hub CSPM für mehrere Konten und Regionen zu konfigurieren. Auf diese Weise können Sie sicherstellen, dass jeder Teil Ihres Unternehmens eine konsistente Konfiguration und einen angemessenen Sicherheitsschutz beibehält.

**Passen Sie unterschiedliche Konfigurationen in unterschiedlichen Konten an und OUs**  
Bei der zentralen Konfiguration können Sie wählen, ob Sie die Konten Ihrer Organisation auf unterschiedliche OUs Weise konfigurieren möchten. Beispielsweise können für Ihre Testkonten und Produktionskonten unterschiedliche Konfigurationen erforderlich sein. Sie können auch eine Konfigurationsrichtlinie erstellen, die neue Konten abdeckt, wenn diese der Organisation beitreten.

**Vermeiden Sie Konfigurationsabweichungen**  
Konfigurationsabweichungen treten auf, wenn ein Benutzer eine Änderung an einem Dienst oder einer Funktion vornimmt, die mit den Einstellungen des delegierten Administrators in Konflikt steht. Die zentrale Konfiguration verhindert diese Abweichung. Wenn Sie ein Konto oder eine Organisationseinheit als zentral verwaltet kennzeichnen, kann sie nur vom delegierten Administrator der Organisation konfiguriert werden. Wenn Sie es vorziehen, dass ein bestimmtes Konto oder eine bestimmte Organisationseinheit ihre eigenen Einstellungen konfiguriert, können Sie es als selbstverwaltet kennzeichnen.

## Wann sollte die zentrale Konfiguration verwendet werden?
<a name="central-configuration-audience"></a>

Die zentrale Konfiguration ist am vorteilhaftesten für AWS Umgebungen, die mehrere Security Hub CSPM-Konten enthalten. Es wurde entwickelt, um Ihnen zu helfen, Security Hub CSPM für mehrere Konten zentral zu verwalten.

Sie können die zentrale Konfiguration verwenden, um den Security Hub CSPM-Dienst, Sicherheitsstandards und Sicherheitskontrollen zu konfigurieren. Sie können es auch verwenden, um die Parameter bestimmter Steuerelemente anzupassen. Weitere Informationen zu Sicherheitsstandards finden Sie unter[Sicherheitsstandards in Security Hub CSPM verstehen](standards-view-manage.md). Weitere Informationen zu Sicherheitskontrollen finden Sie unter[Grundlegendes zu den Sicherheitskontrollen in Security Hub CSPM](controls-view-manage.md).



## Zentrale Begriffe und Konzepte zur Konfiguration
<a name="central-configuration-concepts"></a>

Wenn Sie die folgenden wichtigen Begriffe und Konzepte verstehen, können Sie die zentrale Konfiguration von Security Hub CSPM verwenden.

**Zentrale Konfiguration**  
Eine Security Hub CSPM-Funktion, die dem delegierten Security Hub CSPM-Administratorkonto für eine Organisation hilft, den Security Hub CSPM-Dienst, Sicherheitsstandards und Sicherheitskontrollen für mehrere Konten und Regionen zu konfigurieren. Um diese Einstellungen zu konfigurieren, erstellt und verwaltet der delegierte Administrator Security Hub CSPM-Konfigurationsrichtlinien für zentral verwaltete Konten in seiner Organisation. Selbstverwaltete Konten können ihre eigenen Einstellungen in jeder Region separat konfigurieren. Um die zentrale Konfiguration zu verwenden, müssen Sie Security Hub CSPM und integrieren. AWS Organizations

**Heimatregion**  
 AWS-Region Von dort aus konfiguriert der delegierte Administrator Security Hub CSPM zentral, indem er Konfigurationsrichtlinien erstellt und verwaltet. Konfigurationsrichtlinien gelten in der Heimatregion und allen verknüpften Regionen.  
Die Heimatregion dient auch als Security Hub CSPM-Aggregationsregion und empfängt Ergebnisse, Erkenntnisse und andere Daten aus verknüpften Regionen.  
Regionen, die am oder nach dem 20. März 2019 AWS eingeführt wurden, werden als Opt-in-Regionen bezeichnet. Eine Opt-in-Region kann nicht die Heimatregion sein, aber es kann sich um eine verknüpfte Region handeln. Eine Liste der Regionen, für die Sie sich anmelden können, finden Sie im Referenzhandbuch zur *AWS Kontoverwaltung* unter [Überlegungen vor dem Aktivieren und Deaktivieren von Regionen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations).

**Verknüpfte Region**  
Und AWS-Region das kann von der Heimatregion aus konfiguriert werden. Konfigurationsrichtlinien werden vom delegierten Administrator in der Heimatregion erstellt. Die Richtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Die Angabe verknüpfter Regionen ist optional.  
Eine verknüpfte Region sendet auch Ergebnisse, Erkenntnisse und andere Daten an die Heimatregion.  
Regionen, die am oder nach dem 20. März 2019 AWS eingeführt wurden, werden als Opt-in-Regionen bezeichnet. Sie müssen eine solche Region für ein Konto aktivieren, bevor eine Konfigurationsrichtlinie darauf angewendet werden kann. Das Verwaltungskonto für Organizations kann Opt-in-Regionen für ein Mitgliedskonto aktivieren. Weitere Informationen finden [Sie im *Referenzhandbuch zur AWS-Regionen Kontoverwaltung unter Geben Sie an, welche AWS Konten* verwendet werden können](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable).

**Ziel**  
Eine AWS-Konto, Organisationseinheit (OU) oder der Organisationsstamm.

**Security Hub CSPM-Konfigurationsrichtlinie**  
Eine Sammlung von Security Hub CSPM-Einstellungen, die der delegierte Administrator für zentral verwaltete Ziele konfigurieren kann. Dies umfasst:  
+ Ob Security Hub CSPM aktiviert oder deaktiviert werden soll.
+ Ob ein oder mehrere [Sicherheitsstandards](standards-reference.md) aktiviert werden sollen.
+ Welche [Sicherheitskontrollen](securityhub-controls-reference.md) für alle aktivierten Standards aktiviert werden sollen. Der delegierte Administrator kann dies tun, indem er eine Liste bestimmter Kontrollen bereitstellt, die aktiviert werden sollten, und Security Hub CSPM deaktiviert alle anderen Kontrollen (einschließlich neuer Kontrollen, wenn sie veröffentlicht werden). Alternativ kann der delegierte Administrator eine Liste bestimmter Kontrollen bereitstellen, die deaktiviert werden sollten, und Security Hub CSPM aktiviert alle anderen Kontrollen (einschließlich neuer Kontrollen, wenn sie veröffentlicht werden).
+ [Passen Sie optional die Parameter](custom-control-parameters.md) für ausgewählte aktivierte Steuerelemente in allen aktivierten Standards an.
Eine Konfigurationsrichtlinie wird in der Heimatregion und allen verknüpften Regionen wirksam, nachdem sie mindestens einem Konto, einer Organisationseinheit (OU) oder dem Stammverzeichnis zugeordnet wurde.  
Auf der Security Hub CSPM-Konsole kann der delegierte Administrator die von Security Hub CSPM empfohlene Konfigurationsrichtlinie auswählen oder benutzerdefinierte Konfigurationsrichtlinien erstellen. Mit der Security Hub CSPM-API und AWS CLI kann der delegierte Administrator nur benutzerdefinierte Konfigurationsrichtlinien erstellen. Der delegierte Administrator kann maximal 20 benutzerdefinierte Konfigurationsrichtlinien erstellen.  
In der empfohlenen Konfigurationsrichtlinie sind Security Hub CSPM, der Standard AWS Foundational Security Best Practices (FSBP) und alle vorhandenen und neuen FSBP-Steuerelemente aktiviert. Steuerelemente, die Parameter akzeptieren, verwenden die Standardwerte. Die empfohlene Konfigurationsrichtlinie gilt für die gesamte Organisation.  
Um unterschiedliche Einstellungen auf die Organisation anzuwenden oder unterschiedliche Konfigurationsrichtlinien auf verschiedene Konten anzuwenden und OUs eine benutzerdefinierte Konfigurationsrichtlinie zu erstellen.

**Lokale Konfiguration**  
Der Standardkonfigurationstyp für eine Organisation nach der Integration von Security Hub CSPM und. AWS Organizations Bei der lokalen Konfiguration kann der delegierte Administrator festlegen, dass Security Hub CSPM und [Standardsicherheitsstandards](securityhub-auto-enabled-standards.md) in *neuen* Unternehmenskonten in der aktuellen Region automatisch aktiviert werden. Wenn der delegierte Administrator automatisch Standardstandards aktiviert, werden alle Kontrollen, die Teil dieser Standards sind, auch automatisch mit Standardparametern für neue Organisationskonten aktiviert. Diese Einstellungen gelten nicht für bestehende Konten, sodass nach dem Beitritt eines Kontos zur Organisation eine Änderung der Konfiguration möglich ist. Die Deaktivierung bestimmter Kontrollen, die Teil der Standardstandards sind, und die Konfiguration zusätzlicher Standards und Kontrollen müssen für jedes Konto und jede Region separat erfolgen.  
Die lokale Konfiguration unterstützt die Verwendung von Konfigurationsrichtlinien nicht. Um Konfigurationsrichtlinien zu verwenden, müssen Sie zur zentralen Konfiguration wechseln.

**Manuelle Kontoverwaltung**  
Wenn Sie Security Hub CSPM nicht in Security Hub integrieren AWS Organizations oder ein eigenständiges Konto haben, müssen Sie die Einstellungen für jedes Konto in jeder Region separat angeben. Die manuelle Kontoverwaltung unterstützt die Verwendung von Konfigurationsrichtlinien nicht.

**Zentrale Konfiguration APIs**  
Security Hub CSPM-Operationen, die nur der vom Security Hub CSPM delegierte Security Hub CSPM-Administrator in der Heimatregion verwenden kann, um Konfigurationsrichtlinien für zentral verwaltete Konten zu verwalten. Zu den Vorgängen gehören:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Kontospezifisch APIs**  
Security Hub CSPM-Operationen, mit denen Security Hub CSPM, Standards und Kontrollen auf einer bestimmten Basis aktiviert oder deaktiviert werden können. account-by-account Diese Operationen werden in jeder einzelnen Region verwendet.  
Selbstverwaltete Konten können kontospezifische Operationen verwenden, um ihre eigenen Einstellungen zu konfigurieren. Zentral verwaltete Konten können die folgenden kontospezifischen Vorgänge in der Heimatregion und verknüpften Regionen nicht verwenden. In diesen Regionen kann nur der delegierte Administrator zentral verwaltete Konten über zentrale Konfigurationsvorgänge und Konfigurationsrichtlinien konfigurieren.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Um den Kontostatus zu überprüfen, *kann* der Besitzer eines zentral verwalteten Kontos `Get` beliebige `Describe` Operationen der Security Hub CSPM-API verwenden.  
Wenn Sie statt der zentralen Konfiguration die lokale Konfiguration oder die manuelle Kontoverwaltung verwenden, können Sie diese kontospezifischen Operationen verwenden.  
Selbstverwaltete Konten können auch AND-Operationen verwenden`*Invitations`. `*Members` Wir empfehlen jedoch, dass selbstverwaltete Konten diese Operationen nicht verwenden. Richtlinienzuordnungen können fehlschlagen, wenn ein Mitgliedskonto eigene Mitglieder hat, die Teil einer anderen Organisation sind als die des delegierten Administrators.

**Organisationseinheit (OU)**  
In AWS Organizations und Security Hub CSPM, ein Container für eine Gruppe von. AWS-Konten Eine Organisationseinheit (OU) kann auch andere enthalten OUs, sodass Sie eine Hierarchie erstellen können, die einem umgedrehten Baum ähnelt, mit einer übergeordneten Organisationseinheit an der Spitze und Verzweigungen OUs dieser Organisationseinheit, die nach unten reichen und in Konten enden, die Blätter des Baums sind. Eine Organisationseinheit kann genau eine übergeordnete Organisationseinheit haben, und jedes Organisationskonto kann Mitglied genau einer Organisationseinheit sein.  
Sie können OUs in AWS Organizations oder verwalten AWS Control Tower. Weitere Informationen finden Sie unter [Verwaltung von Organisationseinheiten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) im *AWS Organizations Benutzerhandbuch* oder [Verwaltung von Organisationen und Konten mit AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) im *AWS Control Tower Benutzerhandbuch*.  
Der delegierte Administrator kann Konfigurationsrichtlinien bestimmten Konten oder dem Stammkonto zuordnen OUs, um alle Konten und OUs innerhalb einer Organisation abzudecken.

**Zentral verwaltet**  
Ein Ziel, das nur der delegierte Administrator mithilfe von Konfigurationsrichtlinien regionsübergreifend konfigurieren kann.  
Das delegierte Administratorkonto gibt an, ob ein Ziel zentral verwaltet wird. Der delegierte Administrator kann auch den Status eines Ziels von zentral verwaltet in selbstverwaltet ändern oder umgekehrt.

**Selbstverwaltet**  
Ein Ziel, das seine eigenen Security Hub CSPM-Einstellungen verwaltet. Ein selbstverwaltetes Ziel verwendet kontospezifische Operationen, um Security Hub CSPM für sich selbst in jeder Region separat zu konfigurieren. Dies steht im Gegensatz zu zentral verwalteten Zielen, die nur vom delegierten Administrator regionsübergreifend über Konfigurationsrichtlinien konfiguriert werden können.  
Das delegierte Administratorkonto gibt an, ob ein Ziel selbst verwaltet wird. Der delegierte Administrator kann selbstverwaltetes Verhalten auf ein Ziel anwenden. Alternativ kann ein Konto oder eine Organisationseinheit das selbstverwaltete Verhalten von einem Elternteil erben.  
Das delegierte Administratorkonto kann selbst ein selbstverwaltetes Konto sein. Das delegierte Administratorkonto kann den Status eines Ziels von selbstverwaltet in zentral verwaltet ändern oder umgekehrt.  


**Zuordnung von Konfigurationsrichtlinien**  
Eine Verknüpfung zwischen einer Konfigurationsrichtlinie und einem Konto, einer Organisationseinheit (OU) oder einem Stamm. Wenn eine Richtlinienzuordnung vorhanden ist, verwendet das Konto, die Organisationseinheit oder das Stammverzeichnis die in der Konfigurationsrichtlinie definierten Einstellungen. In einem der folgenden Fälle besteht eine Zuordnung:  
+ Wenn der delegierte Administrator eine Konfigurationsrichtlinie direkt auf ein Konto, eine Organisationseinheit oder einen Root-Benutzer anwendet
+ Wenn ein Konto oder eine Organisationseinheit eine Konfigurationsrichtlinie von einer übergeordneten Organisationseinheit oder der Stammorganisation erbt
Eine Zuordnung besteht, bis eine andere Konfiguration angewendet oder vererbt wird.

**Angewendete Konfigurationsrichtlinie**  
Eine Art von Zuordnung von Konfigurationsrichtlinien, bei der der delegierte Administrator eine Konfigurationsrichtlinie direkt auf Zielkonten oder das Stammkonto anwendet. OUs Ziele werden so konfiguriert, wie sie in der Konfigurationsrichtlinie definiert sind, und nur der delegierte Administrator kann ihre Konfiguration ändern. Wenn die Konfigurationsrichtlinie auf das Stammverzeichnis angewendet wird, wirkt sie sich auf alle Konten und OUs in der Organisation aus, die keine andere Konfiguration verwenden, und zwar entweder durch Anwendung oder Vererbung durch das nächstgelegene übergeordnete Unternehmen.  
Der delegierte Administrator kann eine selbstverwaltete Konfiguration auch auf bestimmte Konten oder das OUs Stammkonto anwenden.

**Geerbte Konfigurationsrichtlinie**  
Eine Art von Zuordnung von Konfigurationsrichtlinien, bei der ein Konto oder eine Organisationseinheit die Konfiguration der nächstgelegenen übergeordneten Organisationseinheit oder der Stammorganisation übernimmt. Wenn eine Konfigurationsrichtlinie nicht direkt auf ein Konto oder eine Organisationseinheit angewendet wird, erbt sie die Konfiguration der nächstgelegenen übergeordneten Organisation. Alle Elemente einer Richtlinie werden vererbt. Mit anderen Worten, ein Konto oder eine Organisationseinheit kann sich nicht dafür entscheiden, selektiv nur Teile einer Richtlinie zu erben. Wenn der nächstgelegene Elternteil selbst verwaltet wird, erbt das untergeordnete Konto oder die Organisationseinheit das selbstverwaltete Verhalten des Elternteils.   
Die Vererbung kann eine angewendete Konfiguration nicht außer Kraft setzen. Das heißt, wenn eine Konfigurationsrichtlinie oder eine selbstverwaltete Konfiguration direkt auf ein Konto oder eine Organisationseinheit angewendet wird, verwendet sie diese Konfiguration und erbt nicht die Konfiguration der übergeordneten Einheit.

**Root**  
In AWS Organizations und Security Hub CSPM, dem übergeordneten Knoten der obersten Ebene in einer Organisation. Wenn der delegierte Administrator eine Konfigurationsrichtlinie auf das Stammkonto anwendet, wird die Richtlinie allen Konten und OUs in der Organisation zugeordnet, sofern sie nicht durch Anwendung oder Vererbung eine andere Richtlinie verwenden oder als selbstverwaltetes Konto ausgewiesen sind. Wenn der Administrator das Stammverzeichnis als selbstverwaltetes Konto festlegt, werden alle Konten OUs in der Organisation selbst verwaltet, es sei denn, sie verwenden durch Anwendung oder Vererbung eine Konfigurationsrichtlinie. Wenn das Stammkonto selbst verwaltet wird und derzeit keine Konfigurationsrichtlinien existieren, behalten alle neuen Konten in der Organisation ihre aktuellen Einstellungen bei.  
Neue Konten, die einer Organisation beitreten, fallen unter das Stammkonto, bis sie einer bestimmten Organisationseinheit zugewiesen werden. Wenn ein neues Konto keiner Organisationseinheit zugewiesen ist, erbt es die Stammkonfiguration, es sei denn, der delegierte Administrator bestimmt es als selbstverwaltetes Konto.

# Aktivierung der zentralen Konfiguration in Security Hub CSPM
<a name="start-central-configuration"></a>

Das delegierte AWS Security Hub CSPM-Administratorkonto kann die zentrale Konfiguration verwenden, um Security Hub CSPM, Standards und Kontrollen für mehrere Konten und Organisationseinheiten () übergreifend zu konfigurieren. OUs AWS-Regionen

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter. [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md)

In diesem Abschnitt werden die Voraussetzungen für die zentrale Konfiguration und die ersten Schritte zur Verwendung dieser Konfiguration erläutert.

## Voraussetzungen für die zentrale Konfiguration
<a name="prerequisites-central-configuration"></a>

Bevor Sie die zentrale Konfiguration verwenden können, müssen Sie Security Hub CSPM in die Heimatregion integrieren AWS Organizations und eine Heimatregion festlegen. Wenn Sie die Security Hub CSPM-Konsole verwenden, sind diese Voraussetzungen im Opt-in-Workflow für die zentrale Konfiguration enthalten.

### In Organizations integrieren
<a name="orgs-integration-prereq"></a>

Sie müssen Security Hub CSPM und Organizations integrieren, um die zentrale Konfiguration verwenden zu können.

Um diese Dienste zu integrieren, erstellen Sie zunächst eine Organisation in Organizations. Über das Verwaltungskonto der Organizations bestimmen Sie dann ein delegiertes Security Hub-CSPM-Administratorkonto. Detaillierte Anweisungen finden Sie unter [Integration von Security Hub CSPM mit AWS Organizations](designate-orgs-admin-account.md).

**Stellen Sie sicher, dass Sie Ihren delegierten Administrator in Ihrer gewünschten Heimatregion angeben.** Wenn Sie die zentrale Konfiguration verwenden, wird derselbe delegierte Administrator automatisch auch in allen verknüpften Regionen eingerichtet. Das Organisationsverwaltungskonto *kann nicht* als delegiertes Administratorkonto festgelegt werden.

**Wichtig**  
Wenn Sie die zentrale Konfiguration verwenden, können Sie die Security Hub CSPM-Konsole oder Security Hub CSPM nicht verwenden, um das delegierte Administratorkonto APIs zu ändern oder zu entfernen. Wenn das Verwaltungskonto der Organizations verwendet wird AWS Organizations APIs , um den delegierten Security Hub CSPM-Administrator zu ändern oder zu entfernen, stoppt Security Hub CSPM automatisch die zentrale Konfiguration. Ihre Konfigurationsrichtlinien werden ebenfalls getrennt und gelöscht. Mitgliedskonten behalten die Konfiguration bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde.

### Geben Sie eine Heimatregion an
<a name="home-region-prereq"></a>

Sie müssen eine Heimatregion angeben, um die zentrale Konfiguration verwenden zu können. Die Heimatregion ist die Region, von der aus der delegierte Administrator die Organisation konfiguriert.

**Anmerkung**  
Bei der Heimatregion kann es sich nicht um eine Region handeln, die als Opt-in-Region ausgewiesen AWS wurde. Eine Opt-in-Region ist standardmäßig deaktiviert. Eine Liste der Opt-in-Regionen finden Sie unter [Überlegungen vor der Aktivierung und Deaktivierung von Regionen im Referenzhandbuch](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) zur *AWS Kontoverwaltung*.

Optional können Sie eine oder mehrere verknüpfte Regionen angeben, die von der Heimatregion aus konfiguriert werden können.

Der delegierte Administrator kann Konfigurationsrichtlinien nur von der Heimatregion aus erstellen und verwalten. Konfigurationsrichtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Sie können keine Konfigurationsrichtlinie erstellen, die nur für eine Teilmenge dieser Regionen gilt und nicht für andere. Eine Ausnahme bilden Kontrollen, die globale Ressourcen betreffen. Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Weitere Informationen finden Sie unter [Steuerungen, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources).

Die Heimatregion ist auch Ihre Security Hub-CSPM-Aggregationsregion, die Ergebnisse, Erkenntnisse und andere Daten aus verknüpften Regionen erhält.

Wenn Sie bereits eine Aggregationsregion für die regionsübergreifende Aggregation festgelegt haben, ist dies Ihre Standard-Heimatregion für die zentrale Konfiguration. Sie können die Heimatregion ändern, bevor Sie die zentrale Konfiguration verwenden, indem Sie Ihren aktuellen Suchaggregator löschen und einen neuen in der gewünschten Heimatregion erstellen. Ein Findingaggregator ist eine Security Hub-CSPM-Ressource, die die Heimatregion und verknüpfte Regionen spezifiziert.

Informationen zur Festlegung einer Heimatregion finden Sie in [den Schritten zum Einstellen](finding-aggregation-enable.md) einer Aggregationsregion. Wenn Sie bereits eine Heimatregion haben, können Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)API aufrufen, um Details zu dieser Region zu sehen, einschließlich der Regionen, die derzeit mit dieser verknüpft sind.

## Anweisungen zur Aktivierung der zentralen Konfiguration
<a name="central-configuration-get-started"></a>

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die zentrale Konfiguration für Ihr Unternehmen zu aktivieren.

------
#### [ Security Hub CSPM console ]

**Um die zentrale Konfiguration (Konsole) zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich **Einstellungen** und Konfiguration aus.** Wählen Sie dann **Zentrale Konfiguration starten** aus.

   Wenn Sie bei Security Hub CSPM einsteigen, wählen Sie **Gehe zu Security** Hub CSPM.

1. Wählen Sie auf der Seite **Delegierten Administrator benennen Ihr delegiertes Administratorkonto** aus oder geben Sie dessen Konto-ID ein. Falls zutreffend, empfehlen wir, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben. Wählen Sie Als **delegierten Administrator festlegen** aus.

1. Wählen Sie auf der Seite **Organisation zentralisieren** im Abschnitt **Regionen** Ihre Heimatregion aus. Sie müssen in der Heimatregion angemeldet sein, um fortzufahren. Wenn Sie bereits eine Aggregationsregion für die regionsübergreifende Aggregation festgelegt haben, wird diese als Heimatregion angezeigt. Um die Heimatregion zu ändern, wählen Sie **„Regionseinstellungen bearbeiten“**. Sie können dann Ihre bevorzugte Heimatregion auswählen und zu diesem Workflow zurückkehren.

1. Wählen Sie mindestens eine Region aus, um eine Verknüpfung mit der Heimatregion herzustellen. Wählen Sie optional aus, ob Sie future unterstützte Regionen automatisch mit der Heimatregion verknüpfen möchten. Die Regionen, die Sie hier auswählen, werden vom delegierten Administrator von der Heimatregion aus konfiguriert. Die Konfigurationsrichtlinien gelten in Ihrer Heimatregion und allen verknüpften Regionen.

1. Wählen Sie **Bestätigen und fortfahren**.

1.  Sie können jetzt die zentrale Konfiguration verwenden. Folgen Sie weiterhin den Anweisungen der Konsole, um Ihre erste Konfigurationsrichtlinie zu erstellen. Wenn Sie noch nicht bereit sind, eine Konfigurationsrichtlinie zu erstellen, wählen Sie **Ich bin noch nicht bereit zur Konfiguration**. Sie können später eine Richtlinie erstellen, indem Sie im Navigationsbereich **Einstellungen** und **Konfiguration** auswählen. Anweisungen zum Erstellen einer Konfigurationsrichtlinie finden Sie unter[Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**So aktivieren Sie die zentrale Konfiguration (API)**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API mit den Anmeldeinformationen des delegierten Administratorkontos von der Heimatregion aus auf.

1. Stellen Sie das `AutoEnable` Feld auf ein. `false`

1. Stellen Sie das `ConfigurationType` Feld im `OrganizationConfiguration` Objekt auf ein`CENTRAL`. Diese Aktion hat folgende Auswirkungen:
   + Benennt das anrufende Konto als delegierten Security Hub-CSPM-Administrator in allen verknüpften Regionen.
   + Aktiviert Security Hub CSPM im delegierten Administratorkonto in allen verknüpften Regionen.
   + Benennt das anrufende Konto als delegierten Security Hub CSPM-Administrator für neue und bestehende Konten, die Security Hub CSPM verwenden und zur Organisation gehören. Dies geschieht in der Heimatregion und allen verknüpften Regionen. Das anrufende Konto wird nur dann als delegierter Administrator für neue Organisationskonten eingerichtet, wenn sie einer Konfigurationsrichtlinie zugeordnet sind, für die Security Hub CSPM aktiviert ist. Das anrufende Konto wird nur dann als delegierter Administrator für bestehende Organisationskonten eingerichtet, wenn Security Hub CSPM bereits aktiviert ist.
   + Stellt [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)`false`in allen verknüpften Regionen und [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)auf `NONE` in der Heimatregion und allen verknüpften Regionen ein. Diese Parameter sind in der Startseite und den verknüpften Regionen nicht relevant, wenn Sie die zentrale Konfiguration verwenden, aber Sie können Security Hub CSPM und Standardsicherheitsstandards in Organisationskonten mithilfe von Konfigurationsrichtlinien automatisch aktivieren.

1. Sie können jetzt die zentrale Konfiguration verwenden. Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Security Hub CSPM in Ihrer Organisation zu konfigurieren. Anweisungen zur Erstellung einer Konfigurationsrichtlinie finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

**Beispiel für eine API-Anfrage:**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Um die zentrale Konfiguration zu aktivieren (AWS CLI)**

1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)Befehl mit den Anmeldeinformationen des delegierten Administratorkontos in der Heimatregion aus.

1. Schließen Sie den Parameter `no-auto-enable` ein.

1. Stellen Sie das `ConfigurationType` Feld im `organization-configuration` Objekt auf `CENTRAL` ein. Diese Aktion hat folgende Auswirkungen:
   + Benennt das anrufende Konto als delegierten Security Hub-CSPM-Administrator in allen verknüpften Regionen.
   + Aktiviert Security Hub CSPM im delegierten Administratorkonto in allen verknüpften Regionen.
   + Benennt das anrufende Konto als delegierten Security Hub CSPM-Administrator für neue und bestehende Konten, die Security Hub CSPM verwenden und zur Organisation gehören. Dies geschieht in der Heimatregion und allen verknüpften Regionen. Das anrufende Konto wird nur dann als delegierter Administrator für neue Organisationskonten eingerichtet, wenn sie einer Konfigurationsrichtlinie zugeordnet sind, für die Security Hub aktiviert ist. Das anrufende Konto wird nur dann als delegierter Administrator für bestehende Organisationskonten eingerichtet, wenn Security Hub CSPM bereits aktiviert ist.
   + Legt die Option zur automatischen Aktivierung [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)in allen verknüpften Regionen und auf `NONE` in der Heimatregion und allen verknüpften Regionen fest [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options). Diese Parameter sind in der Startseite und den verknüpften Regionen nicht relevant, wenn Sie die zentrale Konfiguration verwenden, aber Sie können Security Hub CSPM und Standardsicherheitsstandards in Organisationskonten mithilfe von Konfigurationsrichtlinien automatisch aktivieren.

1. Sie können jetzt die zentrale Konfiguration verwenden. Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Security Hub CSPM in Ihrer Organisation zu konfigurieren. Anweisungen zur Erstellung einer Konfigurationsrichtlinie finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

**Beispielbefehl:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Zentral verwaltete Ziele versus selbstverwaltete Ziele
<a name="central-configuration-management-type"></a>

*Wenn Sie die zentrale Konfiguration aktivieren, kann der delegierte AWS Security Hub CSPM-Administrator jedes Organisationskonto, jede Organisationseinheit (OU) und den Stamm als *zentral* verwaltet oder selbstverwaltet festlegen.* Der Verwaltungstyp eines Ziels bestimmt, wie Sie seine Security Hub CSPM-Einstellungen angeben können.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter. [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md)

In diesem Abschnitt werden die Unterschiede zwischen einer zentral verwalteten und einer selbstverwalteten Bezeichnung sowie die Auswahl des Verwaltungstyps eines Kontos, einer Organisationseinheit oder eines Stammkontos erläutert.

**Selbstverwaltet**  
Der Besitzer eines selbstverwalteten Kontos, einer Organisationseinheit oder eines Stammkontos muss die Einstellungen für jedes Konto separat konfigurieren. AWS-Region Der delegierte Administrator kann keine Konfigurationsrichtlinien für selbstverwaltete Ziele erstellen.

**Zentral verwaltet**  
Nur der delegierte Security Hub CSPM-Administrator kann Einstellungen für zentral verwaltete Konten oder das Stammkonto in der Heimatregion und den verknüpften Regionen konfigurieren. OUs Konfigurationsrichtlinien können zentral verwalteten Konten und zugeordnet werden. OUs

Der delegierte Administrator kann den Status eines Ziels zwischen selbstverwaltetem und zentral verwaltetem ändern. Standardmäßig werden alle Konten und Organisationseinheiten selbst verwaltet, wenn Sie die zentrale Konfiguration über die Security Hub CSPM-API starten. In der Konsole hängt der Verwaltungstyp von Ihrer ersten Konfigurationsrichtlinie ab. Konten und Konten OUs , die Sie Ihrer ersten Richtlinie zuordnen, werden zentral verwaltet. Andere Konten und OUs werden standardmäßig selbst verwaltet.

Wenn Sie einem zuvor selbstverwalteten Konto eine Konfigurationsrichtlinie zuordnen, haben die Richtlinieneinstellungen Vorrang vor der Bezeichnung für selbstverwaltetes Konto. Das Konto wird zentral verwaltet und übernimmt die Einstellungen, die in der Konfigurationsrichtlinie enthalten sind.

Wenn Sie ein zentral verwaltetes Konto in ein selbstverwaltetes Konto ändern, bleiben die Einstellungen, die zuvor über eine Konfigurationsrichtlinie auf das Konto angewendet wurden, bestehen. Beispielsweise könnte ein zentral verwaltetes Konto zunächst mit einer Richtlinie verknüpft werden, die Security Hub CSPM aktiviert, AWS Foundational Security Best Practices aktiviert und .1 deaktiviert. CloudTrail Wenn Sie das Konto dann als selbstverwaltet kennzeichnen, bleiben alle Einstellungen unverändert. Der Kontoinhaber kann die Einstellungen für das Konto in Zukunft jedoch unabhängig ändern.

Kinderkonten und OUs können selbstverwaltetes Verhalten von einem selbstverwalteten Elternteil erben, genauso wie Kinderkonten und Konfigurationsrichtlinien von einem zentral verwalteten Elternteil erben OUs können. Weitere Informationen finden Sie unter [Richtlinienverknüpfung durch Anwendung und Vererbung](configuration-policies-overview.md#policy-association).

Ein selbstverwaltetes Konto oder eine Organisationseinheit kann keine Konfigurationsrichtlinie von einem übergeordneten Knoten oder vom Stammknoten erben. Wenn Sie beispielsweise möchten, dass alle Konten und OUs in Ihrer Organisation eine Konfigurationsrichtlinie vom Stammverzeichnis erben, müssen Sie den Verwaltungstyp für selbstverwaltete Knoten auf zentral verwaltete Knoten ändern.

## Optionen zum Konfigurieren von Einstellungen in selbstverwalteten Konten
<a name="self-managed-settings"></a>

Selbstverwaltete Konten müssen ihre eigenen Einstellungen in jeder Region separat konfigurieren.

Besitzer von selbstverwalteten Konten können die folgenden Operationen der Security Hub CSPM-API in jeder Region aufrufen, um ihre Einstellungen zu konfigurieren:
+ `EnableSecurityHub`und `DisableSecurityHub` um den Security Hub CSPM-Dienst zu aktivieren oder zu deaktivieren (wenn ein selbstverwaltetes Konto über einen delegierten Security Hub CSPM-Administrator verfügt, muss der Administrator die Kontozuweisung aufheben, bevor [der Kontoinhaber Security Hub CSPM deaktivieren](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) kann).
+ `BatchEnableStandards`und `BatchDisableStandards` um Standards zu aktivieren oder zu deaktivieren
+ `BatchUpdateStandardsControlAssociations`oder `UpdateStandardsControl` um Steuerungen zu aktivieren oder zu deaktivieren

Selbstverwaltete Konten können auch `*Invitations` `*Members` AND-Operationen verwenden. Wir empfehlen jedoch, dass selbstverwaltete Konten diese Operationen nicht verwenden. Richtlinienzuordnungen können fehlschlagen, wenn ein Mitgliedskonto eigene Mitglieder hat, die Teil einer anderen Organisation sind als die des delegierten Administrators.

Eine Beschreibung der Security Hub CSPM API-Aktionen finden Sie in der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html) API-Referenz.

Selbstverwaltete Konten können auch die Security Hub CSPM-Konsole verwenden oder AWS CLI ihre Einstellungen in jeder Region konfigurieren.

Selbstverwaltete Konten können keine mit Security Hub APIs zusammenhängenden CSPM-Konfigurationsrichtlinien und Richtlinienzuordnungen aufrufen. Nur der delegierte Administrator kann die zentrale Konfiguration aufrufen APIs und Konfigurationsrichtlinien verwenden, um zentral verwaltete Konten zu konfigurieren.

## Auswahl des Verwaltungstyps eines Ziels
<a name="choose-management-type"></a>

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Konto oder eine Organisationseinheit in AWS Security Hub CSPM als zentral verwaltet oder selbstverwaltet zu kennzeichnen.

------
#### [ Security Hub CSPM console ]

**Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. Wählen Sie **Konfiguration**.

1. Wählen Sie auf der Registerkarte **Organisation** das Zielkonto oder die Organisationseinheit aus. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie auf der Seite **Konfiguration definieren** als **Verwaltungstyp** die Option **Zentral verwaltet** aus, wenn der delegierte Administrator das Zielkonto oder die Organisationseinheit konfigurieren soll. Wählen Sie dann „**Spezifische Richtlinie anwenden**“ aus, wenn Sie dem Ziel eine bestehende Konfigurationsrichtlinie zuordnen möchten. Wählen **Sie Von meiner Organisation übernehmen**, wenn Sie möchten, dass das Ziel die Konfiguration seines engsten übergeordneten Unternehmens erbt. Wählen Sie **Selbstverwaltet**, wenn Sie möchten, dass das Konto oder die Organisationseinheit ihre eigenen Einstellungen konfiguriert.

1. Wählen Sie **Weiter** aus. Überprüfen Sie Ihre Änderungen und wählen Sie **Speichern**.

------
#### [ Security Hub CSPM API ]

**Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `ConfigurationPolicyIdentifier` Feld an, `SELF_MANAGED_SECURITY_HUB` ob das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuern soll. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der entsprechenden Konfigurationsrichtlinie an, wenn Sie möchten, dass der delegierte Administrator die Einstellungen für das Konto oder die Organisationseinheit steuert.

1. Geben Sie für das `Target` Feld die AWS-Konto ID, OU-ID oder Root-ID des Ziels ein, dessen Verwaltungstyp Sie ändern möchten. Dadurch wird das selbstverwaltete Verhalten oder die angegebene Konfigurationsrichtlinie dem Ziel zugeordnet. Untergeordnete Konten des Ziels erben möglicherweise die selbstverwaltete Verhaltens- oder Konfigurationsrichtlinie.

**Beispiel für eine API-Anfrage zur Benennung eines selbstverwalteten Kontos:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen**

1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1. Geben Sie `configuration-policy-identifier` im Feld an, `SELF_MANAGED_SECURITY_HUB` ob das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuern soll. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der entsprechenden Konfigurationsrichtlinie an, wenn Sie möchten, dass der delegierte Administrator die Einstellungen für das Konto oder die Organisationseinheit steuert.

1. Geben Sie für das `target` Feld die AWS-Konto ID, OU-ID oder Root-ID des Ziels ein, dessen Verwaltungstyp Sie ändern möchten. Dadurch wird das selbstverwaltete Verhalten oder die angegebene Konfigurationsrichtlinie dem Ziel zugeordnet. Untergeordnete Konten des Ziels erben möglicherweise die selbstverwaltete Verhaltens- oder Konfigurationsrichtlinie.

**Beispielbefehl zur Benennung eines selbstverwalteten Kontos:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# So funktionieren Konfigurationsrichtlinien in Security Hub CSPM
<a name="configuration-policies-overview"></a>

Der delegierte AWS Security Hub CSPM-Administrator kann Konfigurationsrichtlinien erstellen, um Security Hub CSPM, Sicherheitsstandards und Sicherheitskontrollen für eine Organisation zu konfigurieren. Nach der Erstellung einer Konfigurationsrichtlinie kann der delegierte Administrator sie bestimmten Konten, Organisationseinheiten () OUs oder dem Stamm zuordnen. Die Richtlinie wird dann für die angegebenen Konten oder das Stammkonto wirksam. OUs

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Dieser Abschnitt bietet einen detaillierten Überblick über die Konfigurationsrichtlinien.

## Überlegungen zu Richtlinien
<a name="configuration-policies-considerations"></a>

Bevor Sie eine Konfigurationsrichtlinie in Security Hub CSPM erstellen, sollten Sie die folgenden Details berücksichtigen.
+ **Konfigurationsrichtlinien müssen verknüpft werden, damit sie wirksam** werden. Nachdem Sie eine Konfigurationsrichtlinie erstellt haben, können Sie sie einem oder mehreren Konten, Organisationseinheiten (OUs) oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie kann Konten, direkt oder OUs durch Vererbung von einer übergeordneten Organisationseinheit zugeordnet werden.
+ **Ein Konto oder eine Organisationseinheit kann nur einer Konfigurationsrichtlinie zugeordnet werden**. Um widersprüchliche Einstellungen zu vermeiden, kann ein Konto oder eine Organisationseinheit jeweils nur einer Konfigurationsrichtlinie zugeordnet werden. Alternativ kann ein Konto oder eine Organisationseinheit selbst verwaltet werden.
+ Die **Konfigurationsrichtlinien sind vollständig** — Die Konfigurationsrichtlinien bieten eine vollständige Spezifikation der Einstellungen. Beispielsweise kann ein Kinderkonto keine Einstellungen für einige Steuerelemente aus einer Richtlinie und Einstellungen für andere Steuerelemente aus einer anderen Richtlinie akzeptieren. Wenn Sie eine Richtlinie einem Kinderkonto zuordnen, stellen Sie sicher, dass die Richtlinie alle Einstellungen festlegt, die das Kinderkonto verwenden soll.
+ **Konfigurationsrichtlinien können nicht rückgängig gemacht werden** — Es gibt keine Möglichkeit, eine Konfigurationsrichtlinie rückgängig zu machen, nachdem Sie sie Konten oder zugeordnet haben. OUs Wenn Sie beispielsweise eine Konfigurationsrichtlinie, die CloudWatch Steuerelemente deaktiviert, einem bestimmten Konto zuordnen und diese Richtlinie dann aufheben, sind die CloudWatch Steuerelemente in diesem Konto weiterhin deaktiviert. Um die CloudWatch Kontrollen wieder zu aktivieren, können Sie das Konto einer neuen Richtlinie zuordnen, die die Kontrollen aktiviert. Alternativ können Sie das Konto auf Selbstverwaltung umstellen und alle CloudWatch Steuerelemente im Konto aktivieren.
+ **Konfigurationsrichtlinien gelten in Ihrer Heimatregion und allen verknüpften Regionen** — Eine Konfigurationsrichtlinie wirkt sich auf alle zugehörigen Konten in der Heimatregion und auf alle verknüpften Regionen aus. Sie können keine Konfigurationsrichtlinie erstellen, die nur in einigen dieser Regionen wirksam ist und in anderen nicht. Eine Ausnahme bilden [Steuerelemente, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources). Security Hub CSPM deaktiviert automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen.

  Regionen, die am oder nach dem 20. März 2019 AWS eingeführt wurden, werden als Opt-in-Regionen bezeichnet. Sie müssen eine solche Region für ein Konto aktivieren, bevor dort eine Konfigurationsrichtlinie wirksam wird. Das Verwaltungskonto für Organizations kann Opt-in-Regionen für ein Mitgliedskonto aktivieren. Anweisungen zur Aktivierung von Opt-in-Regionen finden [Sie im *Referenzhandbuch zur Kontoverwaltung unter Geben Sie an, welche Regionen für AWS-Regionen Ihr AWS Konto* verwendet werden können](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable).

  Wenn Ihre Richtlinie eine Steuerung konfiguriert, die in der Heimatregion oder einer oder mehreren verknüpften Regionen nicht verfügbar ist, überspringt Security Hub CSPM die Kontrollkonfiguration in nicht verfügbaren Regionen, wendet die Konfiguration jedoch in Regionen an, in denen die Steuerung verfügbar ist. Ihnen fehlt der Versicherungsschutz für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.
+ **Konfigurationsrichtlinien sind Ressourcen** — Als Ressource hat eine Konfigurationsrichtlinie einen Amazon-Ressourcennamen (ARN) und eine Universally Unique Identifier (UUID). Der ARN verwendet das folgende Format:`arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`. Eine selbstverwaltete Konfiguration hat keinen ARN oder UUID. Der Bezeichner für eine selbstverwaltete Konfiguration lautet. `SELF_MANAGED_SECURITY_HUB`

## Arten von Konfigurationsrichtlinien
<a name="policy-types"></a>

Jede Konfigurationsrichtlinie legt die folgenden Einstellungen fest:
+ Aktivieren oder deaktivieren Sie Security Hub CSPM.
+ Aktivieren Sie einen oder mehrere [Sicherheitsstandards](standards-reference.md).
+ Geben Sie an, welche [Sicherheitskontrollen](securityhub-controls-reference.md) für alle aktivierten Standards aktiviert sind. Sie können dies tun, indem Sie eine Liste bestimmter Steuerelemente bereitstellen, die aktiviert werden sollten, und Security Hub CSPM deaktiviert alle anderen Steuerelemente, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden. Alternativ können Sie eine Liste mit bestimmten Steuerelementen bereitstellen, die deaktiviert werden sollten, und Security Hub CSPM aktiviert alle anderen Kontrollen, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden.
+ [Passen Sie optional die Parameter](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) für ausgewählte aktivierte Steuerelemente für alle aktivierten Standards an.

Zentrale Konfigurationsrichtlinien beinhalten keine AWS Config Rekordereinstellungen. Sie müssen die Aufzeichnung für die erforderlichen Ressourcen separat aktivieren AWS Config und aktivieren, damit Security Hub CSPM Kontrollergebnisse generieren kann. Weitere Informationen finden Sie unter [Überlegungen vor der Aktivierung und Konfiguration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.

Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.

Eine Liste der Kontrollen, die globale Ressourcen betreffen, finden Sie unter[Steuerungen, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources).

### Empfohlene Konfigurationsrichtlinie
<a name="recommended-policy"></a>

Wenn Sie zum *ersten Mal eine Konfigurationsrichtlinie in der Security Hub CSPM-Konsole* erstellen, haben Sie die Möglichkeit, die von Security Hub CSPM empfohlene Richtlinie auszuwählen.

Die empfohlene Richtlinie aktiviert Security Hub CSPM, den Standard AWS Foundational Security Best Practices (FSBP) und alle vorhandenen und neuen FSBP-Steuerelemente. Steuerelemente, die Parameter akzeptieren, verwenden die Standardwerte. Die empfohlene Richtlinie gilt für Root-Benutzer (alle Konten und OUs sowohl neue als auch bestehende). Nachdem Sie die empfohlene Richtlinie für Ihre Organisation erstellt haben, können Sie sie über das delegierte Administratorkonto ändern. Sie können beispielsweise zusätzliche Standards oder Kontrollen aktivieren oder bestimmte FSBP-Steuerelemente deaktivieren. Anweisungen zum Ändern einer Konfigurationsrichtlinie finden Sie unter[Aktualisierung der Konfigurationsrichtlinien](update-policy.md).

### Benutzerdefinierte Konfigurationsrichtlinie
<a name="custom-policy"></a>

Anstelle der empfohlenen Richtlinie kann der delegierte Administrator bis zu 20 benutzerdefinierte Konfigurationsrichtlinien erstellen. Sie können Ihrer gesamten Organisation eine einzelne benutzerdefinierte Richtlinie oder verschiedene benutzerdefinierte Richtlinien verschiedenen Konten zuordnen und OUs. Für eine benutzerdefinierte Konfigurationsrichtlinie geben Sie Ihre gewünschten Einstellungen an. Sie können beispielsweise eine benutzerdefinierte Richtlinie erstellen, die FSBP, den Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 und alle Kontrollen in diesen Standards außer Amazon Redshift Redshift-Steuerelementen aktiviert. Die Granularität, die Sie in benutzerdefinierten Konfigurationsrichtlinien verwenden, hängt vom beabsichtigten Umfang der Sicherheitsabdeckung in Ihrem Unternehmen ab.

**Anmerkung**  
Sie können dem delegierten Administratorkonto keine Konfigurationsrichtlinie zuordnen, die Security Hub CSPM deaktiviert. Eine solche Richtlinie kann mit anderen Konten verknüpft werden, überspringt jedoch die Zuordnung zum delegierten Administrator. Das delegierte Administratorkonto behält seine aktuelle Konfiguration bei.

Nachdem Sie eine benutzerdefinierte Konfigurationsrichtlinie erstellt haben, können Sie zur empfohlenen Konfigurationsrichtlinie wechseln, indem Sie Ihre Konfigurationsrichtlinie entsprechend der empfohlenen Konfiguration aktualisieren. Sie sehen jedoch nicht die Möglichkeit, die empfohlene Konfigurationsrichtlinie in der Security Hub CSPM-Konsole zu erstellen, nachdem Ihre erste Richtlinie erstellt wurde.

## Richtlinienverknüpfung durch Anwendung und Vererbung
<a name="policy-association"></a>

Wenn Sie sich zum ersten Mal für die zentrale Konfiguration entscheiden, hat Ihre Organisation keine Zuordnungen und verhält sich genauso wie vor der Anmeldung. Der delegierte Administrator kann dann Verknüpfungen zwischen einer Konfigurationsrichtlinie oder einem selbstverwalteten Verhalten und Konten oder dem Stammkonto herstellen. OUs *Verknüpfungen können durch *Anwendung* oder Vererbung hergestellt werden.*

Über das delegierte Administratorkonto können Sie eine Konfigurationsrichtlinie direkt auf ein Konto, eine Organisationseinheit oder das Stammkonto anwenden. Alternativ kann der delegierte Administrator einem Konto, einer Organisationseinheit oder dem Stammkonto direkt eine selbstverwaltete Bezeichnung zuweisen.

In Ermangelung einer direkten Anwendung erbt ein Konto oder eine Organisationseinheit die Einstellungen der nächstgelegenen übergeordneten Organisation, die über eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten verfügt. Wenn das engste Elternteil mit einer Konfigurationsrichtlinie verknüpft ist, erbt das Kind diese Richtlinie und kann nur vom delegierten Administrator aus der Heimatregion konfiguriert werden. Wenn der nächstgelegene Elternteil selbst verwaltet wird, erbt das Kind das selbstverwaltete Verhalten und kann in jedem Fall seine eigenen Einstellungen angeben. AWS-Region

Die Anwendung hat Vorrang vor der Vererbung. Mit anderen Worten, die Vererbung setzt eine Konfigurationsrichtlinie oder eine selbstverwaltete Bestimmung, die der delegierte Administrator direkt auf ein Konto oder eine Organisationseinheit angewendet hat, nicht außer Kraft.

Wenn Sie eine Konfigurationsrichtlinie direkt auf ein selbstverwaltetes Konto anwenden, hat die Richtlinie Vorrang vor der Bezeichnung für selbstverwaltete Konten. Das Konto wird zentral verwaltet und übernimmt die Einstellungen, die in der Konfigurationsrichtlinie enthalten sind.

Wir empfehlen, eine Konfigurationsrichtlinie direkt auf das Stammverzeichnis anzuwenden. Wenn Sie eine Richtlinie auf das Stammverzeichnis anwenden, erben neue Konten, die Ihrer Organisation beitreten, automatisch die Stammrichtlinie, sofern Sie sie nicht einer anderen Richtlinie zuordnen oder sie als selbstverwaltet kennzeichnen.

Einem Konto oder einer Organisationseinheit kann jeweils nur eine Konfigurationsrichtlinie zugeordnet werden, entweder durch Anwendung oder Vererbung. Dadurch sollen widersprüchliche Einstellungen vermieden werden.

Das folgende Diagramm zeigt, wie die Anwendung und Vererbung von Richtlinien in einer zentralen Konfiguration funktionieren.

![\[Anwenden und Vererben von Security Hub CSPM-Konfigurationsrichtlinien\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


In diesem Beispiel wurde auf einen grün hervorgehobenen Knoten eine Konfigurationsrichtlinie angewendet. Auf einen blau hervorgehobenen Knoten wurde keine Konfigurationsrichtlinie angewendet. Ein gelb hervorgehobener Knoten wurde als selbstverwaltet eingestuft. Jedes Konto und jede Organisationseinheit verwendet die folgende Konfiguration:
+ **OU:Root (Grün)** — Diese Organisationseinheit verwendet die Konfigurationsrichtlinie, die auf sie angewendet wurde.
+ **ou:Prod (Blue)** — Diese OU erbt die Konfigurationsrichtlinie von OU:Root.
+ **ou:Applications (Green)** — Diese Organisationseinheit verwendet die Konfigurationsrichtlinie, die auf sie angewendet wurde.
+ **Konto 1 (Grün)** — Dieses Konto verwendet die Konfigurationsrichtlinie, die darauf angewendet wurde.
+ **Konto 2 (Blau)** — Dieses Konto erbt die Konfigurationsrichtlinie von OU:Applications.
+ **ou:Dev (Gelb)** — Diese Organisationseinheit wird selbst verwaltet.
+ **Konto 3 (Grün)** — Dieses Konto verwendet die Konfigurationsrichtlinie, die darauf angewendet wurde.
+ **Konto 4 (Blau)** — Dieses Konto erbt das selbstverwaltete Verhalten von OU:Dev.
+ **ou:Test (Blue)** — Dieses Konto erbt die Konfigurationsrichtlinie von ou:Root.
+ **Konto 5 (Blau)** — Dieses Konto erbt die Konfigurationsrichtlinie von ou:Root, da das unmittelbar übergeordnete Konto, ou:Test, keiner Konfigurationsrichtlinie zugeordnet ist.

## Testen einer Konfigurationsrichtlinie
<a name="test-policy"></a>

Um sicherzustellen, dass Sie verstehen, wie Konfigurationsrichtlinien funktionieren, empfehlen wir, eine Richtlinie zu erstellen und sie einem Testkonto oder einer Organisationseinheit zuzuordnen.

**Um eine Konfigurationsrichtlinie zu testen**

1. Erstellen Sie eine benutzerdefinierte Konfigurationsrichtlinie und stellen Sie sicher, dass die angegebenen Einstellungen für die Aktivierung, Standards und Kontrollen von Security Hub CSPM korrekt sind. Detaillierte Anweisungen finden Sie unter [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

1. Wenden Sie die Konfigurationsrichtlinie auf ein Testkonto oder eine Organisationseinheit an, die keine Kinderkonten hat oder. OUs

1. Stellen Sie sicher, dass das Testkonto oder die Organisationseinheit die Konfigurationsrichtlinie in Ihrer Heimatregion und allen verknüpften Regionen erwartungsgemäß verwendet. Sie können auch überprüfen, ob alle anderen Konten und OUs in Ihrer Organisation weiterhin selbst verwaltet werden, und Sie können ihre eigenen Einstellungen in jeder Region ändern.

Nachdem Sie eine Konfigurationsrichtlinie in einem einzelnen Konto oder einer Organisationseinheit getestet haben, können Sie sie anderen Konten zuordnen und OUs.

# Konfigurationsrichtlinien erstellen und zuordnen
<a name="create-associate-policy"></a>

Das delegierte AWS Security Hub CSPM-Administratorkonto kann Konfigurationsrichtlinien erstellen, die festlegen, wie Security Hub CSPM, Standards und Kontrollen in bestimmten Konten und Organisationseinheiten konfiguriert werden (). OUs Eine Konfigurationsrichtlinie wird erst wirksam, wenn der delegierte Administrator sie mindestens einem Konto oder einer Organisationseinheit () OUs oder dem Stamm zuordnet. Der delegierte Administrator kann eine selbstverwaltete Konfiguration auch Konten oder dem Stammverzeichnis OUs zuordnen.

Wenn Sie zum ersten Mal eine Konfigurationsrichtlinie erstellen, empfehlen wir, diese zuerst zu überprüfen. [So funktionieren Konfigurationsrichtlinien in Security Hub CSPM](configuration-policies-overview.md)

Wählen Sie Ihre bevorzugte Zugriffsmethode und folgen Sie den Schritten zum Erstellen und Zuordnen einer Konfigurationsrichtlinie oder einer selbstverwalteten Konfiguration. Wenn Sie die Security Hub CSPM-Konsole verwenden, können Sie eine Konfiguration mehreren Konten oder OUs gleichzeitig zuordnen. Wenn Sie die Security Hub CSPM API oder verwenden AWS CLI, können Sie in jeder Anfrage nur einem Konto oder einer Organisationseinheit eine Konfiguration zuordnen.

**Anmerkung**  
Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.  
Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.  
Eine Liste der Steuerelemente, die globale Ressourcen betreffen, finden Sie unter[Steuerungen, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**So erstellen Sie Konfigurationsrichtlinien und ordnen sie zu**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Konfiguration** und dann die Registerkarte Richtlinien aus.** Wählen Sie dann **Richtlinie erstellen** aus.

1. Wenn **Sie zum ersten Mal eine Konfigurationsrichtlinie erstellen, werden auf der Seite Organisation konfigurieren** unter **Konfigurationstyp** drei Optionen angezeigt. Wenn Sie bereits mindestens eine Konfigurationsrichtlinie erstellt haben, wird nur die Option **Benutzerdefinierte Richtlinie** angezeigt.
   + Wählen Sie **Die AWS empfohlene Security Hub CSPM-Konfiguration für mein gesamtes Unternehmen verwenden**, um unsere empfohlene Richtlinie zu verwenden. Die empfohlene Richtlinie aktiviert Security Hub CSPM in allen Unternehmenskonten, aktiviert den Standard AWS Foundational Security Best Practices (FSBP) und aktiviert alle neuen und vorhandenen FSBP-Steuerelemente. Die Steuerelemente verwenden Standardparameterwerte.
   + Wählen Sie **Ich bin noch nicht bereit zur Konfiguration**, um später eine Konfigurationsrichtlinie zu erstellen.
   + Wählen Sie **Benutzerdefinierte Richtlinie**, um eine benutzerdefinierte Konfigurationsrichtlinie zu erstellen. Geben Sie an, ob Security Hub CSPM aktiviert oder deaktiviert werden soll, welche Standards aktiviert werden sollen und welche Kontrollen für diese Standards aktiviert werden sollen. Geben Sie optional [benutzerdefinierte Parameterwerte](custom-control-parameters.md) für ein oder mehrere aktivierte Steuerelemente an, die benutzerdefinierte Parameter unterstützen.

1. Wählen Sie im Abschnitt **Konten** die Zielkonten oder das Stammkonto aus, OUs für das Ihre Konfigurationsrichtlinie gelten soll.
   + Wählen Sie **Alle Konten** aus, wenn Sie die Konfigurationsrichtlinie auf das Stammkonto anwenden möchten. Dies schließt alle Konten und Konten OUs in der Organisation ein, auf die keine andere Richtlinie angewendet oder vererbt wurde.
   + Wählen Sie **Bestimmte Konten** aus, wenn Sie die Konfigurationsrichtlinie auf bestimmte Konten anwenden möchten oder OUs. Geben Sie das Konto ein IDs, oder wählen Sie die Konten und OUs aus der Organisationsstruktur aus. Sie können die Richtlinie bei der Erstellung auf maximal 15 Ziele (Konten oder Root) anwenden. OUs Wenn Sie eine größere Anzahl angeben möchten, bearbeiten Sie Ihre Richtlinie nach der Erstellung und wenden Sie sie auf weitere Ziele an.
   + Wählen Sie **Nur der delegierte Administrator**, um die Konfigurationsrichtlinie auf das aktuelle delegierte Administratorkonto anzuwenden.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Überprüfen und Anwenden** die Details Ihrer Konfigurationsrichtlinie. Wählen Sie dann **Richtlinie erstellen und anwenden** aus. In Ihrer Heimatregion und den verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten können über eine Anwendung oder durch Vererbung von einem übergeordneten Knoten mit der Konfigurationsrichtlinie verknüpft werden. Untergeordnete Konten und OUs die angewendeten Ziele erben automatisch diese Konfigurationsrichtlinie, sofern sie nicht ausdrücklich ausgeschlossen wurden, sie selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

------
#### [ Security Hub CSPM API ]

**Um Konfigurationsrichtlinien zu erstellen und zuzuordnen**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie für `Name` einen eindeutigen Namen für die Konfigurationsrichtlinie ein. Geben Sie optional für `Description` eine Beschreibung der Konfigurationsrichtlinie an.

1. Geben Sie für das `ServiceEnabled` Feld an, ob Security Hub CSPM in dieser Konfigurationsrichtlinie aktiviert oder deaktiviert werden soll.

1. Geben Sie für das `EnabledStandardIdentifiers` Feld an, welche Security Hub CSPM-Standards Sie in dieser Konfigurationsrichtlinie aktivieren möchten.

1. Geben Sie für das `SecurityControlsConfiguration` Objekt an, welche Steuerelemente Sie in dieser Konfigurationsrichtlinie aktivieren oder deaktivieren möchten. Wählen Sie `EnabledSecurityControlIdentifiers` aus, dass die angegebenen Steuerelemente aktiviert sind. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind deaktiviert. Wenn Sie `DisabledSecurityControlIdentifiers` diese Option wählen, sind die angegebenen Steuerelemente deaktiviert. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind aktiviert.

1. Geben Sie optional für das `SecurityControlCustomParameters` Feld aktivierte Steuerelemente an, für die Sie Parameter anpassen möchten. Geben Sie `CUSTOM` das `ValueType` Feld und den benutzerdefinierten Parameterwert für das `Value` Feld an. Der Wert muss dem richtigen Datentyp entsprechen und innerhalb der von Security Hub CSPM angegebenen gültigen Bereiche liegen. Nur ausgewählte Steuerelemente unterstützen benutzerdefinierte Parameterwerte. Weitere Informationen finden Sie unter [Grundlegendes zu den Steuerungsparametern in Security Hub CSPM](custom-control-parameters.md).

1. Um Ihre Konfigurationsrichtlinie auf Konten anzuwenden oder OUs rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `ConfigurationPolicyIdentifier` Feld den Amazon-Ressourcennamen (ARN) oder die Universally Unique Identifier (UUID) der Richtlinie ein. Der ARN und die UUID werden von der `CreateConfigurationPolicy` API zurückgegeben. Bei einer selbstverwalteten Konfiguration entspricht das `ConfigurationPolicyIdentifier` Feld. `SELF_MANAGED_SECURITY_HUB`

1. Geben Sie für das `Target` Feld die Organisationseinheit, das Konto oder die Root-ID an, für die diese Konfigurationsrichtlinie gelten soll. Sie können in jeder API-Anfrage nur ein Ziel angeben. Untergeordnete Konten und Konten OUs des ausgewählten Ziels erben diese Konfigurationsrichtlinie automatisch, sofern sie nicht selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

**Beispiel für eine API-Anfrage zur Erstellung einer Konfigurationsrichtlinie:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Beispiel für eine API-Anfrage zum Zuordnen einer Konfigurationsrichtlinie:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Um Konfigurationsrichtlinien zu erstellen und zuzuordnen**

1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1. Geben Sie für `name` einen eindeutigen Namen für die Konfigurationsrichtlinie ein. Geben Sie optional für `description` eine Beschreibung der Konfigurationsrichtlinie an.

1. Geben Sie für das `ServiceEnabled` Feld an, ob Security Hub CSPM in dieser Konfigurationsrichtlinie aktiviert oder deaktiviert werden soll.

1. Geben Sie für das `EnabledStandardIdentifiers` Feld an, welche Security Hub CSPM-Standards Sie in dieser Konfigurationsrichtlinie aktivieren möchten.

1. Geben Sie für das `SecurityControlsConfiguration` Feld an, welche Steuerelemente Sie in dieser Konfigurationsrichtlinie aktivieren oder deaktivieren möchten. Wählen Sie `EnabledSecurityControlIdentifiers` aus, dass die angegebenen Steuerelemente aktiviert sind. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind deaktiviert. Wenn Sie `DisabledSecurityControlIdentifiers` diese Option wählen, sind die angegebenen Steuerelemente deaktiviert. Andere Steuerelemente, die Ihren aktivierten Standards entsprechen (einschließlich neu veröffentlichter Steuerelemente), sind aktiviert.

1. Geben Sie optional für das `SecurityControlCustomParameters` Feld aktivierte Steuerelemente an, für die Sie Parameter anpassen möchten. Geben Sie `CUSTOM` das `ValueType` Feld und den benutzerdefinierten Parameterwert für das `Value` Feld an. Der Wert muss dem richtigen Datentyp entsprechen und innerhalb der von Security Hub CSPM angegebenen gültigen Bereiche liegen. Nur ausgewählte Steuerelemente unterstützen benutzerdefinierte Parameterwerte. Weitere Informationen finden Sie unter [Grundlegendes zu den Steuerungsparametern in Security Hub CSPM](custom-control-parameters.md).

1. Um Ihre Konfigurationsrichtlinie auf Konten anzuwenden OUs, oder führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1. Geben Sie für das `configuration-policy-identifier` Feld den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein. Dieser ARN und diese ID werden vom `create-configuration-policy` Befehl zurückgegeben.

1. Geben Sie für das `target` Feld die Organisationseinheit, das Konto oder die Root-ID an, für die diese Konfigurationsrichtlinie gelten soll. Sie können jedes Mal, wenn Sie den Befehl ausführen, nur ein Ziel angeben. Untergeordnete Objekte des ausgewählten Ziels erben diese Konfigurationsrichtlinie automatisch, sofern sie nicht selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

**Beispielbefehl zum Erstellen einer Konfigurationsrichtlinie:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Beispielbefehl zum Zuordnen einer Konfigurationsrichtlinie:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

Die `StartConfigurationPolicyAssociation` API gibt ein Feld namens zurück`AssociationStatus`. In diesem Feld erfahren Sie, ob eine Richtlinienverknüpfung noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von `PENDING` zu `SUCCESS` oder ändert`FAILURE`. Weitere Informationen zum Zuordnungsstatus finden Sie unter[Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie](view-policy.md#configuration-association-status).

# Status und Details der Konfigurationsrichtlinien überprüfen
<a name="view-policy"></a>

Der delegierte AWS Security Hub CSPM-Administrator kann die Konfigurationsrichtlinien für eine Organisation und deren Details einsehen. Dazu gehört, mit welchen Konten und Organisationseinheiten (OUs) eine Richtlinie verknüpft ist.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre Konfigurationsrichtlinien einzusehen.

------
#### [ Security Hub CSPM console ]

**So zeigen Sie die Konfigurationsrichtlinien an (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie die Registerkarte **Richtlinien**, um einen Überblick über Ihre Konfigurationsrichtlinien zu erhalten.

1. Wählen Sie eine Konfigurationsrichtlinie aus und klicken Sie **auf Details anzeigen**, um weitere Informationen zu dieser Richtlinie anzuzeigen, einschließlich der Konten, mit denen OUs sie verknüpft ist.

------
#### [ Security Hub CSPM API ]

Um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien anzuzeigen, verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)Befehl aus. Das delegierte Security Hub CSPM-Administratorkonto sollte den Vorgang in der Heimatregion aufrufen.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Verwenden Sie den Vorgang, um Details zu einer bestimmten Konfigurationsrichtlinie anzuzeigen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) Wenn Sie den verwenden AWS CLI, führen Sie den aus [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, deren Details Sie sehen möchten.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)Vorgang, um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien und ihrer Kontozuordnungen anzuzeigen. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)Befehl aus. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Optional können Sie Paginierungsparameter angeben oder die Ergebnisse nach einer bestimmten Richtlinien-ID, einem Zuordnungstyp oder einem Zuordnungsstatus filtern.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)Vorgang, um Verknüpfungen für ein bestimmtes Konto anzuzeigen. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)Befehl aus. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Geben Sie für `target` die Kontonummer, OU-ID oder Root-ID an.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie
<a name="configuration-association-status"></a>

Die folgenden API-Operationen für die zentrale Konfiguration geben ein Feld mit dem Namen zurück`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Dieses Feld wird sowohl zurückgegeben, wenn es sich bei der zugrunde liegenden Konfiguration um eine Konfigurationsrichtlinie handelt, als auch wenn es sich um ein selbstverwaltetes Verhalten handelt.

Der Wert von `AssociationStatus` gibt an, ob eine Richtlinienzuweisung für ein bestimmtes Konto noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von `PENDING` zu `SUCCESS` oder ändert`FAILED`. Ein Status von `SUCCESS` bedeutet, dass alle in der Konfigurationsrichtlinie angegebenen Einstellungen dem Konto zugeordnet sind. Ein Status von `FAILED` bedeutet, dass eine oder mehrere in der Konfigurationsrichtlinie angegebene Einstellungen dem Konto nicht zugeordnet werden konnten. Trotz eines `FAILED` Status konnte das Konto gemäß der Richtlinie teilweise konfiguriert werden. Sie könnten beispielsweise versuchen, ein Konto mit einer Konfigurationsrichtlinie zu verknüpfen, die Security Hub CSPM aktiviert, AWS Foundational Security Best Practices aktiviert und .1 deaktiviert. CloudTrail Die ersten beiden Einstellungen könnten erfolgreich sein, aber die Einstellung CloudTrail .1 könnte fehlschlagen. In diesem Beispiel lautet der Zuordnungsstatus, `FAILED` obwohl einige Einstellungen korrekt konfiguriert wurden.

Der Zuordnungsstatus einer übergeordneten Organisationseinheit oder der Stammorganisation hängt vom Status ihrer untergeordneten Organisationseinheiten ab. Wenn der Assoziationsstatus aller Kinder lautet`SUCCESS`, ist der Assoziationsstatus des Elternteils`SUCCESS`. Wenn der Assoziationsstatus eines oder mehrerer Kinder lautet`FAILED`, ist der Assoziationsstatus des Elternteils`FAILED`.

Der Wert von `AssociationStatus` hängt vom Assoziationsstatus der Police in allen relevanten Regionen ab. Wenn die Assoziation in der Heimatregion und allen verbundenen Regionen erfolgreich ist, `AssociationStatus` ist `SUCCESS` der Wert von. Wenn die Zuordnung in einer oder mehreren dieser Regionen fehlschlägt, `AssociationStatus` ist `FAILED` der Wert von.

Das folgende Verhalten wirkt sich auch auf den Wert von aus`AssociationStatus`:
+ Handelt es sich bei dem Ziel um eine übergeordnete Organisationseinheit oder um die Stammorganisation, hat sie nur dann den `AssociationStatus` Wert „Ein“ `SUCCESS` oder „`FAILED`nur“, wenn alle untergeordneten Organisationseinheiten den `FAILED` Status „`SUCCESS`Oder“ haben. Wenn sich der Zuordnungsstatus eines untergeordneten Kontos oder einer Organisationseinheit ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie das übergeordnete Konto mit einer Konfiguration verknüpft haben, wird durch die Änderung der Zuordnungsstatus des übergeordneten Kontos nicht aktualisiert, es sei denn, Sie rufen die `StartConfigurationPolicyAssociation` API erneut auf.
+ Handelt es sich bei dem Ziel um ein Konto, hat es den `AssociationStatus` Wert „Von“ `SUCCESS` oder `FAILED` nur, wenn die Zuordnung ein Ergebnis von `SUCCESS` oder `FAILED` in der Heimatregion und allen verknüpften Regionen hat. Wenn sich der Zuordnungsstatus eines Zielkontos ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie es zum ersten Mal mit einer Konfiguration verknüpft haben, wird sein Zuordnungsstatus aktualisiert. Durch die Änderung wird der Zuordnungsstatus des übergeordneten Elements jedoch nicht aktualisiert, es sei denn, Sie rufen die `StartConfigurationPolicyAssociation` API erneut auf.

Wenn Sie eine neue verknüpfte Region hinzufügen, repliziert Security Hub CSPM Ihre vorhandenen Verknüpfungen, die sich in einem `PENDING``SUCCESS`, oder `FAILED` Bundesstaat der neuen Region befinden.

Selbst wenn der Zuordnungsstatus lautet`SUCCESS`, kann der Aktivierungsstatus eines Standards, der Teil der Richtlinie ist, in einen unvollständigen Status übergehen. In diesem Fall kann Security Hub CSPM keine Ergebnisse für die Kontrollen des Standards generieren. Weitere Informationen finden Sie unter [Den Status eines Standards überprüfen](enable-standards.md#standard-subscription-status).

## Behebung eines Zuordnungsfehlers
<a name="failed-association-reasons"></a>

In AWS Security Hub CSPM kann eine Zuordnung von Konfigurationsrichtlinien aus den folgenden häufigen Gründen fehlschlagen.
+ Das **Organisationsverwaltungskonto ist kein Mitglied** — Wenn Sie dem Organisationsverwaltungskonto eine Konfigurationsrichtlinie zuordnen möchten, muss AWS Security Hub CSPM für dieses Konto bereits aktiviert sein. Dadurch wird das Verwaltungskonto zu einem Mitgliedskonto in der Organisation.
+ **AWS Config ist nicht aktiviert oder nicht richtig konfiguriert** — Um Standards in einer Konfigurationsrichtlinie zu aktivieren, AWS Config muss sie aktiviert und konfiguriert sein, um relevante Ressourcen aufzuzeichnen.
+ **Die Verknüpfung muss über ein delegiertes Administratorkonto** erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und OUs wenn Sie mit dem delegierten Security Hub CSPM-Administratorkonto angemeldet sind.
+ **Verbindung muss von der Heimatregion aus** erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und nur, OUs wenn Sie in Ihrer Heimatregion angemeldet sind.
+ **Opt-in-Region nicht aktiviert** — Die Richtlinienverknüpfung schlägt für ein Mitgliedskonto oder eine Organisationseinheit in einer verknüpften Region fehl, wenn es sich um eine Opt-in-Region handelt, die der delegierte Administrator nicht aktiviert hat. Sie können es erneut versuchen, nachdem Sie die Region über das delegierte Administratorkonto aktiviert haben.
+ **Mitgliedskonto gesperrt** — Die Richtlinienverknüpfung schlägt fehl, wenn Sie versuchen, eine Richtlinie mit einem gesperrten Mitgliedskonto zu verknüpfen.

# Aktualisierung der Konfigurationsrichtlinien
<a name="update-policy"></a>

Nach der Erstellung einer Konfigurationsrichtlinie kann das delegierte AWS Security Hub CSPM-Administratorkonto die Richtliniendetails und Richtlinienzuordnungen aktualisieren. Wenn die Richtliniendetails aktualisiert werden, verwenden Konten, die der Konfigurationsrichtlinie zugeordnet sind, automatisch die aktualisierte Richtlinie.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Der delegierte Administrator kann die folgenden Richtlinieneinstellungen aktualisieren:
+ Aktivieren oder deaktivieren Sie Security Hub CSPM.
+ Aktivieren Sie einen oder mehrere [Sicherheitsstandards](standards-reference.md).
+ Geben Sie an, welche [Sicherheitskontrollen](securityhub-controls-reference.md) für alle aktivierten Standards aktiviert sind. Sie können dies tun, indem Sie eine Liste bestimmter Steuerelemente bereitstellen, die aktiviert werden sollten, und Security Hub CSPM deaktiviert alle anderen Steuerelemente, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden. Alternativ können Sie eine Liste mit bestimmten Steuerelementen bereitstellen, die deaktiviert werden sollten, und Security Hub CSPM aktiviert alle anderen Kontrollen, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden.
+ [Passen Sie optional die Parameter](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) für ausgewählte aktivierte Steuerelemente für alle aktivierten Standards an.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Aktualisieren einer Konfigurationsrichtlinie.

**Anmerkung**  
Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.  
Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.  
Eine Liste der Steuerelemente, die globale Ressourcen betreffen, finden Sie unter[Steuerungen, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**So aktualisieren Sie die Konfigurationsrichtlinien**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie die Registerkarte **Policies**.

1. Wählen Sie die Konfigurationsrichtlinie aus, die Sie bearbeiten möchten, und wählen Sie **Bearbeiten** aus. Falls gewünscht, bearbeiten Sie die Richtlinieneinstellungen. Lassen Sie diesen Abschnitt unverändert, wenn Sie die Richtlinieneinstellungen unverändert lassen möchten.

1. Wählen Sie **Weiter**. Falls gewünscht, bearbeiten Sie die Richtlinienverknüpfungen. Lassen Sie diesen Abschnitt unverändert, wenn Sie die Richtlinienverknüpfungen unverändert lassen möchten. Sie können die Richtlinie bei der Aktualisierung maximal 15 Zielen (Konten oder Root) zuordnen oder deren Zuordnung aufheben. OUs 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie Ihre Änderungen und wählen Sie **Speichern und anwenden**. In Ihrer Heimatregion und den verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten können über eine Anwendung oder durch Vererbung von einem übergeordneten Knoten mit einer Konfigurationsrichtlinie verknüpft werden.

------
#### [ API ]

**Um die Konfigurationsrichtlinien zu aktualisieren**

1. Um die Einstellungen in einer Konfigurationsrichtlinie zu aktualisieren, rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie aktualisieren möchten. 

1. Geben Sie aktualisierte Werte für die Felder unter ein`ConfigurationPolicy`. Optional können Sie auch einen Grund für die Aktualisierung angeben.

1. Um neue Verknüpfungen für diese Konfigurationsrichtlinie hinzuzufügen, rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf. Um eine oder mehrere aktuelle Verknüpfungen zu entfernen, rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `ConfigurationPolicyIdentifier` Feld den ARN oder die ID der Konfigurationsrichtlinie ein, deren Verknüpfungen Sie aktualisieren möchten.

1. Geben Sie für das `Target` Feld die Konten oder die Root-ID ein, die Sie zuordnen oder trennen möchten. OUs Diese Aktion setzt vorherige Richtlinienzuordnungen für die angegebenen OUs Konten außer Kraft.

**Anmerkung**  
Wenn Sie die `UpdateConfigurationPolicy` API aufrufen, führt Security Hub CSPM eine vollständige Listenersetzung für die Felder`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, und durch. `SecurityControlCustomParameters` Geben Sie bei jedem Aufruf dieser API die vollständige Liste der Standards an, die Sie aktivieren möchten, sowie die vollständige Liste der Steuerelemente, die Sie aktivieren oder deaktivieren möchten, und für die Sie die Parameter anpassen möchten.

**Beispiel für eine API-Anfrage zur Aktualisierung einer Konfigurationsrichtlinie:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Um die Konfigurationsrichtlinien zu aktualisieren**

1. Um die Einstellungen in einer Konfigurationsrichtlinie zu aktualisieren, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1.  Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie aktualisieren möchten.

1. Geben Sie aktualisierte Werte für die Felder unter ein`configuration-policy`. Optional können Sie auch einen Grund für die Aktualisierung angeben.

1. Um neue Verknüpfungen für diese Konfigurationsrichtlinie hinzuzufügen, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus. Um eine oder mehrere aktuelle Verknüpfungen zu entfernen, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1. Geben Sie für das `configuration-policy-identifier` Feld den ARN oder die ID der Konfigurationsrichtlinie ein, deren Verknüpfungen Sie aktualisieren möchten.

1. Geben Sie für das `target` Feld die Konten oder die Root-ID ein, die Sie zuordnen oder trennen möchten. OUs Diese Aktion setzt vorherige Richtlinienzuordnungen für die angegebenen OUs Konten außer Kraft.

**Anmerkung**  
Wenn Sie den `update-configuration-policy` Befehl ausführen, führt Security Hub CSPM eine vollständige Listenersetzung für die Felder`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, und `SecurityControlCustomParameters` durch. Geben Sie bei jeder Ausführung dieses Befehls die vollständige Liste der Standards an, die Sie aktivieren möchten, sowie die vollständige Liste der Steuerelemente, die Sie aktivieren oder deaktivieren möchten, und für die Sie die Parameter anpassen möchten.

**Beispielbefehl zum Aktualisieren einer Konfigurationsrichtlinie:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

Die `StartConfigurationPolicyAssociation` API gibt ein Feld namens zurück`AssociationStatus`. In diesem Feld erfahren Sie, ob eine Richtlinienverknüpfung noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von `PENDING` zu `SUCCESS` oder ändert`FAILURE`. Weitere Informationen zum Zuordnungsstatus finden Sie unter[Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie](view-policy.md#configuration-association-status).

# Löschen von Konfigurationsrichtlinien
<a name="delete-policy"></a>

Nach der Erstellung einer Konfigurationsrichtlinie kann der delegierte AWS Security Hub CSPM-Administrator sie löschen. Alternativ kann der delegierte Administrator die Richtlinie beibehalten, sie jedoch von bestimmten Konten oder Organisationseinheiten (OUs) oder vom Stamm trennen. Anweisungen zum Aufheben der Zuordnung zu einer Richtlinie finden Sie unter. [Eine Konfiguration von ihren Zielen trennen](disassociate-policy.md)

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter. [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md)

In diesem Abschnitt wird erklärt, wie Konfigurationsrichtlinien gelöscht werden.

Wenn Sie eine Konfigurationsrichtlinie löschen, ist sie für Ihre Organisation nicht mehr vorhanden. Zielkonten und der Organisationsstamm können die Konfigurationsrichtlinie nicht mehr verwenden. OUs Ziele, die mit einer gelöschten Konfigurationsrichtlinie verknüpft waren, erben die Konfigurationsrichtlinie des nächstgelegenen übergeordneten Objekts oder werden selbst verwaltet, wenn das nächstgelegene übergeordnete Objekt selbst verwaltet wird. Wenn Sie möchten, dass ein Ziel eine andere Konfiguration verwendet, können Sie das Ziel einer neuen Konfigurationsrichtlinie zuordnen. Weitere Informationen finden Sie unter [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

Wir empfehlen, mindestens eine Konfigurationsrichtlinie zu erstellen und mit Ihrer Organisation zu verknüpfen, um einen angemessenen Sicherheitsschutz zu gewährleisten.

Bevor Sie eine Konfigurationsrichtlinie löschen können, müssen Sie die Zuordnung der Richtlinie zu allen Konten oder dem Stammkonto OUs aufheben, für das sie derzeit gilt.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen einer Konfigurationsrichtlinie.

------
#### [ Console ]

**So löschen Sie eine Konfigurationsrichtlinie**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie die Registerkarte **Policies**. Wählen Sie die Konfigurationsrichtlinie aus, die Sie löschen möchten, und wählen Sie **Löschen** aus. Wenn die Konfigurationsrichtlinie noch mit Konten oder verknüpft ist OUs, werden Sie aufgefordert, die Richtlinie zunächst von diesen Zielen zu trennen, bevor Sie sie löschen können.

1. Überprüfen Sie die Bestätigungsnachricht. Geben Sie ein **confirm** und wählen Sie **Löschen**.

------
#### [ API ]

**So löschen Sie eine Konfigurationsrichtlinie**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie löschen möchten. Wenn Sie eine `ConflictException` Fehlermeldung erhalten, gilt die Konfigurationsrichtlinie weiterhin für Konten oder OUs in Ihrer Organisation. Um den Fehler zu beheben, trennen Sie die Konfigurationsrichtlinie von diesen Konten oder OUs bevor Sie versuchen, sie zu löschen.

**Beispiel für eine API-Anfrage zum Löschen einer Konfigurationsrichtlinie:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**So löschen Sie eine Konfigurationsrichtlinie**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

 Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie löschen möchten. Wenn Sie eine `ConflictException` Fehlermeldung erhalten, gilt die Konfigurationsrichtlinie weiterhin für Konten oder OUs in Ihrer Organisation. Um den Fehler zu beheben, trennen Sie die Konfigurationsrichtlinie von diesen Konten oder OUs bevor Sie versuchen, sie zu löschen.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Eine Konfiguration von ihren Zielen trennen
<a name="disassociate-policy"></a>

Über das delegierte AWS Security Hub CSPM-Administratorkonto können Sie die Zuordnung einer Konfigurationsrichtlinie oder einer selbstverwalteten Konfiguration zu einem Konto, einer Organisationseinheit oder einem Root-Konto aufheben. Durch die Trennung der Zuordnung wird die Richtlinie für die future Verwendung beibehalten, bestehende Verknüpfungen zu bestimmten Konten oder dem Stammkonto werden jedoch entfernt. Sie können nur eine direkt angewendete Konfiguration trennen, keine vererbte Konfiguration. OUs Um eine geerbte Konfiguration zu ändern, können Sie eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten auf das betroffene Konto oder die betroffene Organisationseinheit anwenden. Sie können auch eine neue Konfigurationsrichtlinie, die Ihre gewünschten Änderungen enthält, auf das nächstgelegene übergeordnete Objekt anwenden.

Durch die Trennung der Zuordnung *wird eine Konfigurationsrichtlinie nicht* gelöscht. Die Richtlinie wird in Ihrem Konto gespeichert, sodass Sie sie mit anderen Zielen in Ihrer Organisation verknüpfen können. Anweisungen zum Löschen einer Konfigurationsrichtlinie finden Sie unter[Löschen von Konfigurationsrichtlinien](delete-policy.md). Wenn die Trennung abgeschlossen ist, erbt ein betroffenes Ziel die Konfigurationsrichtlinie oder das selbstverwaltete Verhalten des nächstgelegenen übergeordneten Ziels. Wenn es keine vererbbare Konfiguration gibt, behält ein Ziel die Einstellungen bei, die es vor der Trennung hatte, wird aber selbst verwaltet.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Konto, eine Organisationseinheit oder einen Root-Benutzer von der aktuellen Konfiguration zu trennen.

------
#### [ Console ]

**Um ein Konto oder eine Organisationseinheit von der aktuellen Konfiguration zu trennen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie auf der Registerkarte **Organizations** das Konto, die Organisationseinheit oder das Stammverzeichnis aus, das Sie von der aktuellen Konfiguration trennen möchten. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie auf der Seite **Konfiguration definieren** für **Verwaltung** die Option **Anwendete Richtlinie** aus, wenn Sie möchten, dass der delegierte Administrator Richtlinien direkt auf das Ziel anwenden kann. Wählen Sie **Vererbt**, wenn Sie möchten, dass das Ziel die Konfiguration seines nächsten übergeordneten Objekts erbt. In beiden Fällen kontrolliert der delegierte Administrator die Einstellungen für das Ziel. Wählen Sie **Selbstverwaltet**, wenn Sie möchten, dass das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuert.

1. Nachdem Sie Ihre Änderungen überprüft haben, wählen Sie **Weiter** und **Anwenden**. Diese Aktion überschreibt bestehende Konfigurationen aller Konten oder Konten OUs , die sich im Gültigkeitsbereich befinden, falls diese Konfigurationen mit Ihrer aktuellen Auswahl in Konflikt stehen.

------
#### [ API ]

**Um ein Konto oder eine Organisationseinheit von der aktuellen Konfiguration zu trennen**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1.  Geben Sie für `ConfigurationPolicyIdentifier` den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, deren Zuordnung Sie aufheben möchten. Geben Sie dieses Feld an, `SELF_MANAGED_SECURITY_HUB` um die Zuordnung zu selbstverwaltetem Verhalten aufzuheben.

1.  Geben Sie für `Target` die Konten oder das Stammkonto an OUs, das Sie von dieser Konfigurationsrichtlinie trennen möchten.

**Beispiel für eine API-Anfrage zum Trennen der Zuordnung zu einer Konfigurationsrichtlinie:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Um ein Konto oder eine Organisationseinheit von der aktuellen Konfiguration zu trennen**

1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1.  Geben Sie für `configuration-policy-identifier` den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, deren Zuordnung Sie aufheben möchten. Geben Sie dieses Feld an, `SELF_MANAGED_SECURITY_HUB` um die Zuordnung zu selbstverwaltetem Verhalten aufzuheben.

1.  Geben Sie für `target` die Konten oder das Stammkonto an OUs, das Sie von dieser Konfigurationsrichtlinie trennen möchten.

**Beispielbefehl zum Trennen der Zuordnung einer Konfigurationsrichtlinie:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Konfiguration eines Standards oder einer Steuerung im Kontext
<a name="central-configuration-in-context"></a>

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) in AWS Security Hub CSPM verwenden, kann der delegierte Security Hub CSPM-Administrator Konfigurationsrichtlinien erstellen, die festlegen, wie Security Hub CSPM, Sicherheitsstandards und Sicherheitskontrollen für eine Organisation konfiguriert werden. Der delegierte Administrator kann Richtlinien bestimmten Konten und Organisationseinheiten (OU) zuordnen. Die Richtlinien gelten in Ihrer Heimatregion und allen verknüpften Regionen. Der delegierte Administrator kann die Konfigurationsrichtlinien bei Bedarf aktualisieren.

Auf der Security Hub CSPM-Konsole kann der delegierte Administrator die Konfigurationsrichtlinien auf zwei Arten aktualisieren: von der **Konfigurationsseite** aus oder im Kontext mit bestehenden Workflows. Letzteres kann von Vorteil sein, da Sie anhand der Sicherheitsergebnisse herausfinden können, welche Standards und Kontrollen für Ihre Umgebung am relevantesten sind, und diese gleichzeitig konfigurieren können.

Die kontextabhängige Konfiguration ist nur auf der Security Hub CSPM-Konsole verfügbar. Programmgesteuert muss der delegierte Administrator den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)Betrieb der Security Hub CSPM-API aufrufen, um die Konfiguration bestimmter Standards oder Kontrollen in der Organisation zu ändern.

Gehen Sie wie folgt vor, um einen Security Hub CSPM-Standard oder eine kontextbezogene Steuerung zu konfigurieren.

**So konfigurieren Sie einen Standard oder ein kontextbezogenes Steuerelement (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. Wählen Sie im Navigationsbereich eine der folgenden Optionen:
   + Um einen Standard zu konfigurieren, wählen Sie **Sicherheitsstandards** und dann einen bestimmten Standard aus.
   + Um ein Steuerelement zu konfigurieren, wählen Sie **Controls** und wählen Sie ein bestimmtes Steuerelement aus.

1. Die Konsole listet Ihre vorhandenen Security Hub CSPM-Konfigurationsrichtlinien und den Status des ausgewählten Standards oder Steuerelements in jeder Richtlinie auf. Wählen Sie in jeder vorhandenen Konfigurationsrichtlinie die Optionen aus, um den Standard oder die Steuerung zu aktivieren oder zu deaktivieren. Bei Steuerungen können Sie auch wählen, ob Sie die [Steuerparameter](custom-control-parameters.md) anpassen möchten. Sie können während der kontextbezogenen Konfiguration keine neue Richtlinie erstellen. Um eine neue Richtlinie zu erstellen, müssen Sie zur **Konfigurationsseite** gehen, die Registerkarte **Richtlinien** und dann **Richtlinie erstellen** auswählen.

1. Nachdem Sie Ihre Änderungen vorgenommen haben, wählen Sie **Weiter**.

1. Überprüfen Sie Ihre Änderungen und wählen Sie **Anwenden**. Die Updates betreffen alle Konten OUs , die mit einer geänderten Konfigurationsrichtlinie verknüpft sind. Die Updates werden auch in der Heimatregion und allen verknüpften Regionen wirksam.

# Deaktivierung der zentralen Konfiguration in Security Hub CSPM
<a name="stop-central-configuration"></a>

Wenn Sie die zentrale Konfiguration in AWS Security Hub CSPM deaktivieren, verliert der delegierte Administrator die Möglichkeit, Security Hub CSPM, Sicherheitsstandards und Sicherheitskontrollen für mehrere AWS-Konten Organisationseinheiten () und zu konfigurieren. OUs AWS-Regionen Stattdessen müssen Sie die meisten Einstellungen für jedes Konto in jeder Region separat konfigurieren.

**Wichtig**  
Bevor Sie die zentrale Konfiguration deaktivieren können, müssen Sie zuerst [Ihre Konten und](disassociate-policy.md) ihre aktuelle Konfiguration OUs trennen, unabhängig davon, ob es sich dabei um eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten handelt.  
Bevor Sie die zentrale Konfiguration deaktivieren können, müssen Sie auch [vorhandene Konfigurationsrichtlinien löschen](delete-policy.md).

Wenn Sie die zentrale Konfiguration deaktivieren, treten die folgenden Änderungen auf:
+ Der delegierte Administrator kann keine Konfigurationsrichtlinien mehr für die Organisation erstellen.
+ Konten, auf die eine Konfigurationsrichtlinie angewendet oder vererbt wurde, behalten ihre aktuellen Einstellungen bei, werden jedoch automatisch verwaltet.
+ Ihr Unternehmen wechselt zur *lokalen Konfiguration*. Bei der lokalen Konfiguration müssen die meisten Security Hub CSPM-Einstellungen für jedes Organisationskonto und jede Region separat konfiguriert werden. Der delegierte Administrator kann festlegen, dass Security Hub CSPM, [Standardsicherheitsstandards und alle Kontrollen, die Teil der Standardstandards](securityhub-auto-enabled-standards.md) sind, in neuen Organisationskonten automatisch aktiviert werden. Die Standardstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Diese Einstellungen sind nur in der aktuellen Region wirksam und wirken sich nur auf neue Unternehmenskonten aus. Der delegierte Administrator kann nicht ändern, welche Standards die Standardstandards sind. Die lokale Konfiguration unterstützt nicht die Verwendung von Konfigurationsrichtlinien oder Konfigurationen auf OU-Ebene.

Die Identität des delegierten Administratorkontos bleibt unverändert, wenn Sie die zentrale Konfiguration nicht mehr verwenden. Ihre Heimatregion und die verknüpften Regionen bleiben ebenfalls unverändert (Ihre Heimatregion wird jetzt als Aggregationsregion bezeichnet und kann für die Suche nach Aggregationen verwendet werden).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die zentrale Konfiguration nicht mehr zu verwenden und zur lokalen Konfiguration zu wechseln.

------
#### [ Security Hub CSPM console ]

**Um die zentrale Konfiguration (Konsole) zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie im Abschnitt **Übersicht** die Option **Bearbeiten** aus.

1. Wählen **Sie im Feld Organisationskonfiguration bearbeiten** die Option **Lokale Konfiguration** aus. Falls Sie dies noch nicht getan haben, werden Sie aufgefordert, Ihre aktuellen Konfigurationsrichtlinien zu trennen und zu löschen, bevor Sie die zentrale Konfiguration beenden können. Konten oder Konten OUs , die als selbstverwaltet gekennzeichnet sind, müssen von ihrer selbstverwalteten Konfiguration getrennt werden. Sie können dies in der Konsole tun, indem Sie den [Verwaltungstyp jedes selbstverwalteten Kontos oder jeder Organisationseinheit auf **Zentral verwaltet** und von meiner Organisation **übernehmen** ändern](central-configuration-management-type.md#choose-management-type).

1. Wählen Sie optional die Standardeinstellungen für die lokale Konfiguration für neue Organisationskonten aus.

1. Wählen Sie **Bestätigen** aus.

------
#### [ Security Hub CSPM API ]

**Um die zentrale Konfiguration (API) zu deaktivieren**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API auf.

1. Setzen Sie das `ConfigurationType` Feld im `OrganizationConfiguration` Objekt auf`LOCAL`. Die API gibt einen Fehler zurück, wenn Sie über bestehende Konfigurationsrichtlinien oder Richtlinienzuordnungen verfügen. Rufen Sie die API auf, um die Zuordnung einer Konfigurationsrichtlinie aufzuheben. `StartConfigurationPolicyDisassociation` Rufen Sie die API auf, um eine Konfigurationsrichtlinie zu löschen. `DeleteConfigurationPolicy`

1. Wenn Sie Security Hub CSPM automatisch in neuen Organisationskonten aktivieren möchten, setzen Sie das `AutoEnable` Feld auf. `true` Standardmäßig ist der Wert dieses Felds`false`, und Security Hub CSPM wird nicht automatisch in neuen Organisationskonten aktiviert. Wenn Sie die Standardsicherheitsstandards für neue Organisationskonten automatisch aktivieren möchten, setzen Sie das `AutoEnableStandards` Feld optional auf. `DEFAULT` Dies ist der Standardwert. Wenn Sie die Standardsicherheitsstandards in neuen Organisationskonten nicht automatisch aktivieren möchten, setzen Sie das `AutoEnableStandards` Feld auf`NONE`.

**Beispiel für eine API-Anfrage:**

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Um die zentrale Konfiguration zu deaktivieren (AWS CLI)**

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) aus.

1. Stellen Sie das `ConfigurationType` Feld im `organization-configuration` Objekt auf ein`LOCAL`. Der Befehl gibt einen Fehler zurück, wenn Sie bereits über Konfigurationsrichtlinien oder Richtlinienzuordnungen verfügen. Führen Sie den `start-configuration-policy-disassociation` Befehl aus, um die Zuordnung einer Konfigurationsrichtlinie aufzuheben. Führen Sie den `delete-configuration-policy` Befehl aus, um eine Konfigurationsrichtlinie zu löschen.

1. Wenn Sie Security Hub CSPM automatisch in neuen Organisationskonten aktivieren möchten, geben Sie den `auto-enable` Parameter an. Standardmäßig ist der Wert dieses Parameters`no-auto-enable`, und Security Hub CSPM wird nicht automatisch in neuen Organisationskonten aktiviert. Wenn Sie die Standardsicherheitsstandards für neue Organisationskonten automatisch aktivieren möchten, setzen Sie das `auto-enable-standards` Feld optional auf. `DEFAULT` Dies ist der Standardwert. Wenn Sie die Standardsicherheitsstandards in neuen Organisationskonten nicht automatisch aktivieren möchten, setzen Sie das `auto-enable-standards` Feld auf`NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------