Désactivation d'une norme de sécurité dans Security Hub - AWS Security Hub
Désactivation d'une norme dans plusieurs comptes et régionsDésactiver une norme dans un seul compte et dans une seule région

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Désactivation d'une norme de sécurité dans Security Hub

Lorsque vous désactivez une norme de sécurité dans Security Hub, les événements suivants se produisent :

  • Toutes les commandes qui s'appliquent à la norme sont également désactivées, sauf si elles sont associées à une autre norme.

  • Les contrôles des contrôles désactivés ne sont plus effectués et aucun résultat supplémentaire n'est généré pour les contrôles désactivés.

  • Les résultats existants concernant les contrôles désactivés sont archivés automatiquement au bout de 3 à 5 jours environ.

  • Les AWS Config règles créées par Security Hub pour les contrôles désactivés sont supprimées.

    Cela se produit généralement quelques minutes après la désactivation de la norme, mais cela peut prendre plus de temps. Si la première demande de suppression des AWS Config règles échoue, Security Hub réessaie toutes les 12 heures. Toutefois, si vous avez désactivé Security Hub ou si aucune autre norme n'est activée, Security Hub ne peut pas réessayer la demande, ce qui signifie qu'il ne peut pas supprimer les AWS Config règles. Si cela se produit et que vous devez supprimer AWS Config des règles, contactez AWS Support.

Désactivation d'une norme dans plusieurs comptes et régions

Pour désactiver une norme de sécurité sur plusieurs comptes et régions, vous devez utiliser la configuration centralisée.

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration qui désactivent une ou plusieurs normes. Vous pouvez associer une politique de configuration à des comptes spécifiques et/ou OUs à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.

Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir de désactiver la norme de sécurité des données de l'industrie des cartes de paiement (PCIDSS) dans une unité d'organisation, et vous pouvez choisir de désactiver les deux PCI DSS ainsi que le SP 800-53 Rev. 5 du National Institute of Standards and Technology (NIST) dans une autre unité d'organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui désactive les normes spécifiées, consultezCréation et association de politiques de configuration.

Note

L'administrateur délégué peut créer des politiques de configuration pour désactiver n'importe quelle norme, à l'exception de la norme gérée par les services :. AWS Control Tower Vous ne pouvez désactiver cette norme que dans le AWS Control Tower service. Si vous utilisez la configuration centralisée, vous pouvez activer et désactiver les contrôles dans cette norme pour un compte géré de manière centralisée uniquement dans AWS Control Tower.

Si vous souhaitez que certains comptes configurent leurs propres normes plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les normes séparément dans chaque région.

Désactiver une norme dans un seul compte et dans une seule région

Si vous n'utilisez pas de configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour désactiver les normes de manière centralisée dans plusieurs comptes et régions. Toutefois, vous pouvez utiliser les étapes suivantes pour désactiver une norme dans un seul compte et une seule région.

Security Hub console
Pour désactiver une norme dans un compte et une région

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Vérifiez que vous utilisez Security Hub dans la région dans laquelle vous souhaitez désactiver la norme.

  3. Dans le volet de navigation du Security Hub, sélectionnez Security standards.

  4. Pour la norme que vous souhaitez désactiver, choisissez Disable (Désactiver).

  5. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver la norme.

Security Hub API
Pour désactiver une norme dans un compte et une région

  1. Invoquez le BatchDisableStandards API.

  2. Pour chaque norme que vous souhaitez désactiver, indiquez l'abonnement standardARN. Pour obtenir l'abonnement correspondant ARNs à vos normes activées, invoquez le GetEnabledStandards API.

  3. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver la norme.

AWS CLI
Pour désactiver une norme dans un compte et une région

  1. Exécutez le batch-disable-standardscommande.

  2. Pour chaque norme que vous souhaitez désactiver, indiquez l'abonnement standardARN. Pour obtenir l'abonnement ARNs correspondant à vos normes activées, exécutez le get-enabled-standardscommande.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Exemple

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver la norme.