Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comprendre les paramètres de contrôle dans Security Hub CSPM
<a name="custom-control-parameters"></a>

Certains contrôles de AWS Security Hub CSPM utilisent des paramètres qui affectent la manière dont le contrôle est évalué. Généralement, ces contrôles sont évalués par rapport aux valeurs de paramètres par défaut définies par Security Hub CSPM. Toutefois, pour un sous-ensemble de ces contrôles, vous pouvez modifier les valeurs des paramètres. Lorsque vous modifiez la valeur d'un paramètre de contrôle, Security Hub CSPM commence à évaluer le contrôle par rapport à la valeur que vous spécifiez. Si la ressource sous-jacente au contrôle répond à la valeur personnalisée, Security Hub CSPM génère un résultat. `PASSED` Si la ressource ne correspond pas à la valeur personnalisée, Security Hub CSPM génère un `FAILED` résultat.

En personnalisant les paramètres de contrôle, vous pouvez affiner les meilleures pratiques de sécurité recommandées et surveillées par Security Hub CSPM afin de les aligner sur les exigences de votre entreprise et vos attentes en matière de sécurité. Au lieu de supprimer les résultats d'un contrôle, vous pouvez personnaliser un ou plusieurs de ses paramètres pour obtenir des résultats adaptés à vos besoins de sécurité.

Voici quelques exemples de cas d'utilisation pour modifier les paramètres de contrôle et définir des valeurs personnalisées :
+ **[CloudWatch.16] — les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée**

  Vous pouvez définir la durée de conservation.
+ **[IAM.7] — Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte**

  Vous pouvez définir des paramètres liés à la solidité du mot de passe.
+ **[EC2.18] — Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés**

  Vous pouvez spécifier les ports autorisés à autoriser le trafic entrant sans restriction.
+ **[Lambda.5] — Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité**

  Vous pouvez spécifier le nombre minimum de zones de disponibilité qui produisent un résultat réussi.

Cette section décrit les éléments à prendre en compte lorsque vous modifiez les paramètres de contrôle.

## Effet de la modification des valeurs des paramètres de contrôle
<a name="custom-control-parameters-overview"></a>

Lorsque vous modifiez la valeur d'un paramètre, vous déclenchez également un nouveau contrôle de sécurité qui évalue le contrôle en fonction de la nouvelle valeur. Security Hub CSPM génère ensuite de nouveaux résultats de contrôle en fonction de la nouvelle valeur. Lors des mises à jour périodiques visant à contrôler les résultats, Security Hub CSPM utilise également la nouvelle valeur du paramètre. Si vous modifiez les valeurs des paramètres d'un contrôle, mais que vous n'avez activé aucune norme incluant le contrôle, Security Hub CSPM n'effectue aucun contrôle de sécurité à l'aide des nouvelles valeurs. Vous devez activer au moins une norme pertinente pour que Security Hub CSPM évalue le contrôle en fonction de la nouvelle valeur du paramètre.

Un contrôle peut comporter un ou plusieurs paramètres personnalisables. Les types de données possibles pour chaque paramètre de contrôle sont les suivants :
+ Booléen
+ Double
+ Enum
+ EnumList
+ Entier
+ IntegerList
+ String
+ StringList

Les valeurs de paramètres personnalisées s'appliquent à toutes vos normes activées. Vous ne pouvez pas personnaliser les paramètres d'un contrôle qui n'est pas pris en charge dans votre région actuelle. Pour une liste des limites régionales pour les contrôles individuels, voir[Limites régionales relatives aux contrôles CSPM du Security Hub](regions-controls.md).

Pour certaines commandes, les valeurs de paramètres acceptables doivent se situer dans une plage spécifiée pour être valides. Dans ces cas, Security Hub CSPM fournit la plage acceptable.

Security Hub CSPM choisit les valeurs des paramètres par défaut et peut parfois les mettre à jour. Une fois que vous avez personnalisé un paramètre de contrôle, sa valeur reste celle que vous avez spécifiée pour le paramètre, sauf si vous la modifiez. En d'autres termes, le paramètre arrête de suivre les mises à jour de la valeur CSPM par défaut de Security Hub, même si la valeur personnalisée du paramètre correspond à la valeur par défaut actuelle définie par Security Hub CSPM. Voici un exemple pour le contrôle **[ACM.1] : les certificats importés et émis par ACM doivent être renouvelés après une** période spécifiée :

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

Dans l'exemple précédent, le `daysToExpiration` paramètre possède une valeur personnalisée de`30`. La valeur par défaut actuelle pour ce paramètre est également`30`. Si Security Hub CSPM modifie la valeur par défaut en`14`, le paramètre de cet exemple ne suivra pas cette modification. Il conservera une valeur de`30`.

Si vous souhaitez suivre les mises à jour de la valeur CSPM par défaut du Security Hub pour un paramètre, définissez le `ValueType` champ sur au `DEFAULT` lieu de. `CUSTOM` Pour de plus amples informations, veuillez consulter [Revenir aux paramètres de contrôle par défaut dans un seul compte et une seule région](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Contrôles prenant en charge les paramètres personnalisés
<a name="controls-list-custom-parameters"></a>

Pour obtenir la liste des contrôles de sécurité qui prennent en charge les paramètres personnalisés, consultez la page **Contrôles** de la console Security Hub CSPM ou le. [Référence de contrôle pour Security Hub CSPM](securityhub-controls-reference.md) Pour récupérer cette liste par programmation, vous pouvez utiliser l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)opération. Dans la réponse, l'`CustomizableProperties`objet indique quelles commandes prennent en charge les paramètres personnalisables.

# Révision des valeurs des paramètres de contrôle actuels
<a name="view-control-parameters"></a>

Il peut être utile de connaître la valeur actuelle d'un paramètre de contrôle avant de le modifier.

Vous pouvez consulter les valeurs actuelles des différents paramètres de contrôle de votre compte. Si vous utilisez la configuration centralisée, l'administrateur délégué du AWS Security Hub CSPM peut également vérifier les valeurs des paramètres spécifiées dans une politique de configuration.

Choisissez votre méthode préférée et suivez les étapes pour vérifier les valeurs actuelles des paramètres de contrôle.

------
#### [ Security Hub CSPM console ]

**Pour consulter les valeurs actuelles des paramètres de contrôle (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le volet de navigation, choisissez **Controls**. Choisissez un contrôle.

1. Sélectionnez l’onglet **Paramètres**. Cet onglet affiche les valeurs des paramètres actuels du contrôle.

------
#### [ Security Hub CSPM API ]

**Pour consulter les valeurs actuelles des paramètres de contrôle (API)**

Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API et fournissez un ou plusieurs contrôles de sécurité IDs ou ARNs. L'`Parameters`objet de la réponse indique les valeurs de paramètres actuelles pour les contrôles spécifiés.

Par exemple, la AWS CLI commande suivante indique les valeurs des paramètres actuels pour `APIGatway.1``CloudWatch.15`, et`IAM.7`. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Choisissez votre méthode préférée pour afficher les valeurs des paramètres actuels dans une politique de configuration centrale.

------
#### [ Security Hub CSPM console ]

**Pour consulter les valeurs actuelles des paramètres de contrôle dans une politique de configuration (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.

1. Dans l'onglet **Stratégies**, sélectionnez la politique de configuration, puis choisissez **Afficher les détails**. Les détails de la politique apparaissent alors, y compris les valeurs des paramètres actuels.

------
#### [ Security Hub CSPM API ]

**Pour consulter les valeurs actuelles des paramètres de contrôle dans une politique de configuration (API)**

1. Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API depuis le compte d'administrateur délégué de la région d'origine.

1. Indiquez l'ARN ou l'ID de la politique de configuration dont vous souhaitez consulter les détails. La réponse inclut les valeurs des paramètres actuels.

Par exemple, la AWS CLI commande suivante récupère les valeurs actuelles des paramètres de contrôle dans la politique de configuration spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

Les résultats du contrôle incluent également les valeurs actuelles des paramètres de contrôle. Dans le[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md), ces valeurs apparaissent dans le `Parameters` champ de l'`Compliance`objet. **Pour consulter les résultats sur la console Security Hub CSPM, choisissez Findings dans le volet de navigation.** Pour examiner les résultats par programmation, utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)fonctionnement de l'API Security Hub CSPM.

# Personnalisation des valeurs des paramètres de contrôle
<a name="customize-control-parameters"></a>

Les instructions de personnalisation des paramètres de contrôle varient selon que vous utilisez ou non la [configuration centralisée](central-configuration-intro.md) dans AWS Security Hub CSPM. La configuration centralisée est une fonctionnalité que l'administrateur délégué du Security Hub CSPM peut utiliser pour configurer les fonctionnalités du Security Hub CSPM sur les comptes et Régions AWS les unités organisationnelles (). OUs

Si votre organisation utilise une configuration centralisée, l'administrateur délégué peut créer des politiques de configuration qui incluent des paramètres de contrôle personnalisés. Ces politiques peuvent être associées à des comptes membres gérés de manière centralisée et OUs elles entrent en vigueur dans votre région d'origine et dans toutes les régions associées. L'administrateur délégué peut également désigner un ou plusieurs comptes comme étant autogérés, ce qui permet au propriétaire du compte de configurer ses propres paramètres séparément dans chaque région. Si votre organisation n'utilise pas de configuration centralisée, vous devez personnaliser les paramètres de contrôle séparément dans chaque compte et région.

Nous vous recommandons d'utiliser une configuration centralisée car elle vous permet d'aligner les valeurs des paramètres de contrôle entre les différentes parties de votre organisation. Par exemple, tous vos comptes de test peuvent utiliser certaines valeurs de paramètres, et tous les comptes de production peuvent utiliser des valeurs différentes.

## Personnalisation des paramètres de contrôle dans plusieurs comptes et régions
<a name="customize-control-parameters-central-config"></a>

Si vous êtes l'administrateur délégué du Security Hub CSPM pour une organisation utilisant une configuration centralisée, choisissez votre méthode préférée et suivez les étapes pour personnaliser les paramètres de contrôle sur plusieurs comptes et régions.

------
#### [ Security Hub CSPM console ]

**Pour personnaliser les valeurs des paramètres de contrôle dans plusieurs comptes et régions (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Assurez-vous d'être connecté à votre région d'origine.

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.

1. Choisissez l’onglet **Politiques**.

1. Pour créer une nouvelle politique de configuration incluant des paramètres personnalisés, choisissez **Create policy**. Pour spécifier des paramètres personnalisés dans une politique de configuration existante, sélectionnez la stratégie, puis choisissez **Modifier**.

   **Pour créer une nouvelle politique de configuration avec des valeurs de paramètres de contrôle personnalisées**

   1. Dans la section **Politique personnalisée**, choisissez les normes et contrôles de sécurité que vous souhaitez activer.

   1. Sélectionnez **Personnaliser les paramètres de contrôle**.

   1. Sélectionnez un contrôle, puis spécifiez des valeurs personnalisées pour un ou plusieurs paramètres.

   1. Pour personnaliser les paramètres d'autres contrôles, choisissez **Personnaliser le contrôle supplémentaire**.

   1. Dans la section **Comptes**, sélectionnez les comptes OUs auxquels vous souhaitez appliquer la politique.

   1. Choisissez **Suivant**.

   1. Choisissez **Créer une politique et appliquez**. Dans votre région d'origine et dans toutes les régions associées, cette action remplace les paramètres de configuration existants des OUs comptes associés à cette politique de configuration. Les comptes OUs peuvent être associés à une politique de configuration par le biais d'une application directe ou d'un héritage d'un parent.

   **Pour personnaliser les valeurs des paramètres de contrôle dans une politique de configuration existante**

   1. Dans la section **Contrôles**, sous **Politique personnalisée**, spécifiez les nouvelles valeurs de paramètres personnalisés que vous souhaitez.

   1. Si c'est la première fois que vous personnalisez les paramètres de contrôle dans cette politique, sélectionnez **Personnaliser les paramètres de contrôle**, puis sélectionnez un contrôle à personnaliser. Pour personnaliser les paramètres d'autres contrôles, choisissez **Personnaliser le contrôle supplémentaire**.

   1. Dans la section **Comptes**, vérifiez les comptes OUs auxquels vous souhaitez appliquer la politique.

   1. Choisissez **Suivant**.

   1. Vérifiez vos modifications et vérifiez qu'elles sont correctes. Lorsque vous avez terminé, choisissez **Enregistrer la politique et appliquez**. Dans votre région d'origine et dans toutes les régions associées, cette action remplace les paramètres de configuration existants des OUs comptes associés à cette politique de configuration. Les comptes OUs peuvent être associés à une politique de configuration par le biais d'une application directe ou d'un héritage d'un parent.

------
#### [ Security Hub CSPM API ]

**Pour personnaliser les valeurs des paramètres de contrôle dans plusieurs comptes et régions (API)**

**Pour créer une nouvelle politique de configuration avec des valeurs de paramètres de contrôle personnalisées**

1. Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API depuis le compte d'administrateur délégué de la région d'origine.

1. Pour l'`SecurityControlCustomParameters`objet, indiquez l'identifiant de chaque contrôle que vous souhaitez personnaliser.

1. Pour l'`Parameters`objet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, `CUSTOM` indiquez`ValueType`. Pour`Value`, indiquez le type de données du paramètre et la valeur personnalisée. Le `Value` champ ne peut pas être vide alors qu'il l'`ValueType`est`CUSTOM`. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en appelant l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.

**Pour personnaliser les valeurs des paramètres de contrôle dans une politique de configuration existante**

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API depuis le compte d'administrateur délégué de la région d'origine.

1. Pour le `Identifier` champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.

1. Pour l'`SecurityControlCustomParameters`objet, indiquez l'identifiant de chaque contrôle que vous souhaitez personnaliser.

1. Pour l'`Parameters`objet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, `CUSTOM` indiquez`ValueType`. Pour`Value`, indiquez le type de données du paramètre et la valeur personnalisée. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en appelant l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.

Par exemple, la AWS CLI commande suivante crée une nouvelle politique de configuration avec une valeur personnalisée pour le `daysToExpiration` paramètre de`ACM.1`. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Personnalisation des paramètres de contrôle dans un seul compte et une seule région
<a name="customize-control-parameters-local-config"></a>

Si vous n'utilisez pas la configuration centralisée ou si vous ne possédez pas de compte autogéré, vous pouvez personnaliser les paramètres de contrôle de votre compte dans une seule région à la fois.

Choisissez votre méthode préférée et suivez les étapes pour personnaliser les paramètres de contrôle. Vos modifications s'appliquent uniquement à votre compte dans la région actuelle. Pour personnaliser les paramètres de contrôle dans des régions supplémentaires, répétez les étapes suivantes pour chaque compte et région supplémentaires dans lesquels vous souhaitez personnaliser les paramètres. Le même contrôle peut utiliser différentes valeurs de paramètres dans différentes régions.

------
#### [ Security Hub CSPM console ]

**Pour personnaliser les valeurs des paramètres de contrôle dans un compte et une région (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le volet de navigation, choisissez **Controls**. Dans le tableau, choisissez un contrôle qui prend en charge les paramètres personnalisés dont vous souhaitez modifier les paramètres. La colonne **Paramètres personnalisés** indique quels contrôles prennent en charge les paramètres personnalisés.

1. Sur la page de détails du contrôle, cliquez sur l'onglet **Paramètres**, puis sur **Modifier**.

1. Spécifiez les valeurs de paramètres souhaitées.

1. Dans la section **Motif du changement**, sélectionnez éventuellement un motif pour personnaliser les paramètres.

1. Choisissez **Enregistrer**.

------
#### [ Security Hub CSPM API ]

**Pour personnaliser les valeurs des paramètres de contrôle dans un compte et une région (API)**

1. Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.

1. Pour`SecurityControlId`, indiquez l'ID du contrôle que vous souhaitez personnaliser.

1. Pour l'`Parameters`objet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, `CUSTOM` indiquez`ValueType`. Pour`Value`, indiquez le type de données du paramètre et la valeur personnalisée. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en appelant l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.

1. Facultativement, pour`LastUpdateReason`, indiquez le motif de la personnalisation des paramètres de contrôle.

Par exemple, la AWS CLI commande suivante définit une valeur personnalisée pour le `daysToExpiration` paramètre de`ACM.1`. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Revenir aux valeurs des paramètres de contrôle par défaut
<a name="revert-default-parameter-values"></a>

Un paramètre de contrôle peut avoir une valeur par défaut définie par AWS Security Hub CSPM. Security Hub CSPM met parfois à jour la valeur par défaut d'un paramètre afin de refléter l'évolution des meilleures pratiques en matière de sécurité. Si vous n'avez pas spécifié de valeur personnalisée pour un paramètre de contrôle, le contrôle suit automatiquement ces mises à jour et utilise la nouvelle valeur par défaut.

Vous pouvez revenir à l'utilisation des valeurs de paramètres par défaut pour un contrôle. Les instructions de réversion varient selon que vous utilisez ou non la [configuration centralisée](central-configuration-intro.md) dans Security Hub CSPM. La configuration centralisée est une fonctionnalité que l'administrateur délégué du Security Hub CSPM peut utiliser pour configurer les fonctionnalités du Security Hub CSPM sur les comptes et Régions AWS les unités organisationnelles (). OUs

**Note**  
Tous les paramètres de contrôle n'ont pas de valeur Security Hub CSPM par défaut. Dans de tels cas, lorsque `ValueType` ce paramètre est défini sur`DEFAULT`, Security Hub CSPM n'utilise aucune valeur par défaut spécifique. Security Hub CSPM ignore plutôt le paramètre en l'absence de valeur personnalisée.

## Revenir aux paramètres de contrôle par défaut dans plusieurs comptes et régions
<a name="revert-default-parameter-values-central-config"></a>

Si vous utilisez la configuration centralisée, vous pouvez rétablir les paramètres de contrôle pour plusieurs comptes gérés de manière centralisée, ainsi que OUs dans la région d'origine et les régions associées.

Choisissez votre méthode préférée et suivez les étapes pour revenir aux valeurs des paramètres par défaut sur plusieurs comptes et régions à l'aide de la configuration centrale.

------
#### [ Security Hub CSPM console ]

**Pour revenir aux valeurs des paramètres de contrôle par défaut dans plusieurs comptes et régions (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.

1. Choisissez l’onglet **Politiques**.

1. Sélectionnez une politique, puis choisissez **Modifier**. 

1. Sous **Politique personnalisée**, la section **Contrôles** affiche la liste des contrôles pour lesquels vous avez spécifié des paramètres personnalisés.

1. Trouvez le contrôle dont une ou plusieurs valeurs de paramètres doivent être annulées. Choisissez ensuite **Supprimer** pour revenir aux valeurs par défaut.

1. Dans la section **Comptes**, vérifiez les comptes OUs auxquels vous souhaitez appliquer la politique.

1. Choisissez **Suivant**.

1. Vérifiez vos modifications et vérifiez qu'elles sont correctes. Lorsque vous avez terminé, choisissez **Enregistrer la politique et appliquez**. Dans votre région d'origine et dans toutes les régions associées, cette action remplace les paramètres de configuration existants des OUs comptes associés à cette politique de configuration. Les comptes OUs peuvent être associés à une politique de configuration par le biais d'une application directe ou d'un héritage d'un parent.

------
#### [ Security Hub CSPM API ]

**Pour revenir aux valeurs des paramètres de contrôle par défaut dans plusieurs comptes et régions (API)**

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API depuis le compte d'administrateur délégué de la région d'origine.

1. Pour le `Identifier` champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique que vous souhaitez mettre à jour.

1. Pour l'`SecurityControlCustomParameters`objet, indiquez l'identifiant de chaque contrôle pour lequel vous souhaitez rétablir un ou plusieurs paramètres.

1. Dans l'`Parameters`objet, pour chaque paramètre que vous souhaitez rétablir, indiquez `DEFAULT` le `ValueType` champ. Lorsque `ValueType` ce paramètre est défini sur`DEFAULT`, il n'est pas nécessaire de fournir de valeur pour le `Value` champ. Si une valeur est incluse dans votre demande, Security Hub CSPM l'ignore. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle.

**Avertissement**  
Si vous omettez un objet de contrôle `SecurityControlCustomParameters` dans le champ, Security Hub CSPM rétablit les valeurs par défaut de tous les paramètres personnalisés du contrôle. Une liste complètement vide `SecurityControlCustomParameters` rétablit les paramètres personnalisés de tous les contrôles à leurs valeurs par défaut.

Par exemple, la AWS CLI commande suivante rétablit la valeur par défaut du paramètre de `daysToExpiration` contrôle `ACM.1` pour dans la politique de configuration spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Revenir aux paramètres de contrôle par défaut dans un seul compte et une seule région
<a name="revert-default-parameter-values-local-config"></a>

Si vous n'utilisez pas la configuration centralisée ou si vous ne possédez pas de compte autogéré, vous pouvez revenir à l'utilisation des valeurs de paramètres par défaut pour votre compte dans une région à la fois.

Choisissez votre méthode préférée et suivez les étapes pour revenir aux valeurs des paramètres par défaut pour votre compte dans une seule région. Pour revenir aux valeurs des paramètres par défaut dans des régions supplémentaires, répétez ces étapes dans chaque région supplémentaire.

**Note**  
Si vous désactivez Security Hub CSPM, vos paramètres de contrôle personnalisés sont réinitialisés. Si vous réactivez Security Hub CSPM à l'avenir, tous les contrôles utiliseront les valeurs de paramètres par défaut pour démarrer.

------
#### [ Security Hub CSPM console ]

**Pour revenir aux valeurs des paramètres de contrôle par défaut dans un compte et une région (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le volet de navigation, choisissez **Controls**. Choisissez le contrôle dont vous souhaitez rétablir les valeurs de paramètres par défaut.

1. `Parameters`Dans l'onglet, choisissez **Personnalisé** à côté d'un paramètre de contrôle. Choisissez ensuite **Supprimer la personnalisation**. Ce paramètre utilise désormais la valeur CSPM par défaut du Security Hub et assure le suivi des futures mises à jour par rapport à cette valeur par défaut.

1. Répétez l'étape précédente pour chaque valeur de paramètre que vous souhaitez rétablir.

------
#### [ Security Hub CSPM API ]

**Pour revenir aux valeurs des paramètres de contrôle par défaut dans un compte et une région (API)**

1. Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.

1. Pour`SecurityControlId`, indiquez l'ARN ou l'ID du contrôle dont vous souhaitez rétablir les paramètres.

1. Dans l'`Parameters`objet, pour chaque paramètre que vous souhaitez rétablir, indiquez `DEFAULT` le `ValueType` champ. Lorsque `ValueType` ce paramètre est défini sur`DEFAULT`, il n'est pas nécessaire de fournir de valeur pour le `Value` champ. Si une valeur est incluse dans votre demande, Security Hub CSPM l'ignore.

1. Facultativement, pour`LastUpdateReason`, fournissez une raison pour revenir aux valeurs des paramètres par défaut.

Par exemple, la AWS CLI commande suivante rétablit la valeur par défaut du paramètre de `daysToExpiration` contrôle `ACM.1` pour. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Vérification de l'état des modifications des paramètres de commande
<a name="parameter-update-status"></a>

Lorsque vous essayez de personnaliser un paramètre de contrôle ou de revenir à la valeur par défaut, vous pouvez vérifier si les modifications souhaitées ont été effectives. Cela permet de garantir qu'un contrôle fonctionne comme prévu et fournit la valeur de sécurité escomptée. Si la mise à jour d'un paramètre échoue, Security Hub CSPM conserve la valeur actuelle du paramètre.

Pour vérifier qu'une mise à jour des paramètres a réussi, vous pouvez consulter les détails du contrôle sur la console Security Hub CSPM. Sur la console, choisissez **Controls** dans le volet de navigation. Choisissez ensuite un contrôle pour afficher ses détails. L'onglet **Paramètres** indique l'état de la modification des paramètres.

Par programmation, si votre demande de mise à jour d'un paramètre est valide, la valeur du `UpdateStatus` champ se trouve `UPDATING` dans une réponse à l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)opération. Cela signifie que la mise à jour était valide, mais il est possible que tous les résultats n'incluent pas encore les valeurs de paramètres mises à jour. Lorsque la valeur de `UpdateState` change`READY`, Security Hub CSPM utilise les valeurs des paramètres de contrôle mises à jour lors de l'exécution des contrôles de sécurité du contrôle. Les résultats incluent les valeurs des paramètres mises à jour.

L'`UpdateSecurityControl`opération renvoie une `InvalidInputException` réponse pour les valeurs de paramètres non valides. La réponse fournit des détails supplémentaires sur la raison de l'échec. Par exemple, vous avez peut-être spécifié une valeur située en dehors de la plage valide pour un paramètre. Il se peut également que vous ayez spécifié une valeur qui n'utilise pas le type de données correct. Soumettez à nouveau votre demande avec des données valides.

En cas de défaillance interne lorsque vous essayez de mettre à jour la valeur d'un paramètre, Security Hub CSPM réessaie automatiquement si vous l'avez activé. AWS Config Pour de plus amples informations, veuillez consulter [Considérations avant l'activation et la configuration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).