Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Le compte d' AWS Security Hub administrateur délégué peut créer des politiques de configuration qui spécifient la manière dont Security Hub, les normes et les contrôles sont configurés dans des comptes et des unités organisationnelles spécifiques (OUs). Une politique de configuration ne prend effet que lorsque l'administrateur délégué l'associe à au moins un compte ou une unité organisationnelle (OUs), ou à la racine. L'administrateur délégué peut également associer une configuration autogérée à des comptes ou à l'utilisateur root. OUs
Si c'est la première fois que vous créez une politique de configuration, nous vous recommandons de la vérifier d'abordFonctionnement des politiques de configuration dans Security Hub.
Choisissez votre méthode d'accès préférée et suivez les étapes pour créer et associer une politique de configuration ou une configuration autogérée. Lorsque vous utilisez la console Security Hub, vous pouvez associer une configuration OUs à plusieurs comptes ou en même temps. Lorsque vous utilisez l'API Security Hub AWS CLI, vous ne pouvez associer une configuration qu'à un seul compte ou unité d'organisation par demande.
Note
Si vous utilisez la configuration centralisée, Security Hub désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans aucune des régions associées.
Pour obtenir la liste des contrôles impliquant des ressources globales, voirContrôles utilisant des ressources globales.
Pour créer et associer des politiques de configuration
Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/
. Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.
-
Dans le volet de navigation, choisissez Configuration et l'onglet Politiques. Choisissez ensuite Create policy.
-
Sur la page Configurer l'organisation, si c'est la première fois que vous créez une politique de configuration, trois options s'affichent sous Type de configuration. Si vous avez déjà créé au moins une politique de configuration, seule l'option Politique personnalisée s'affiche.
Choisissez Utiliser la configuration Security Hub AWS recommandée dans l'ensemble de mon organisation pour appliquer notre politique recommandée. La politique recommandée active Security Hub dans tous les comptes de l'organisation, applique la norme AWS Foundational Security Best Practices (FSBP) et active tous les contrôles FSBP nouveaux et existants. Les commandes utilisent les valeurs de paramètres par défaut.
Choisissez Je ne suis pas encore prêt à configurer pour créer une politique de configuration ultérieurement.
Choisissez Politique personnalisée pour créer une politique de configuration personnalisée. Spécifiez s'il faut activer ou désactiver Security Hub, quelles normes activer et quels contrôles activer selon ces normes. Spécifiez éventuellement des valeurs de paramètres personnalisés pour un ou plusieurs contrôles activés qui prennent en charge les paramètres personnalisés.
-
Dans la section Comptes, choisissez les comptes cibles ou la racine auxquels vous souhaitez que votre politique de configuration s'applique. OUs
Choisissez Tous les comptes si vous souhaitez appliquer la politique de configuration à la racine. Cela inclut tous les comptes et ceux OUs de l'organisation auxquels aucune autre politique n'est appliquée ou dont aucune autre politique n'est héritée.
Choisissez Comptes spécifiques si vous souhaitez appliquer la politique de configuration à des comptes spécifiques ou OUs. Entrez le compte IDs, ou sélectionnez les comptes et OUs depuis la structure de l'organisation. Vous pouvez appliquer la politique à un maximum de 15 cibles (comptes ou root) lorsque vous la créez. OUs Pour spécifier un nombre plus élevé, modifiez votre politique après sa création et appliquez-la à des cibles supplémentaires.
Choisissez L'administrateur délégué uniquement pour appliquer la politique de configuration au compte d'administrateur délégué actuel.
-
Choisissez Suivant.
-
Sur la page Vérifier et appliquer, passez en revue les détails de votre politique de configuration. Choisissez ensuite Créer une politique et appliquez. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à la politique de configuration par le biais d'une application ou d'un héritage d'un nœud parent. Les comptes enfants et les cibles appliquées hériteront automatiquement OUs de cette politique de configuration, sauf s'ils sont spécifiquement exclus, autogérés ou s'ils utilisent une politique de configuration différente.
L'StartConfigurationPolicyAssociation
API renvoie un champ appeléAssociationStatus
. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage du statut à SUCCESS
ou peut prendre jusqu'à 24 heuresFAILURE
. PENDING
Pour plus d'informations sur le statut de l'association, consultezRévision du statut d'association d'une politique de configuration.