Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation d'une norme de sécurité dans Security Hub
Lorsque vous activez une norme de sécurité dans AWS Security Hub, toutes les commandes qui s'appliquent à la norme y sont automatiquement activées. Security Hub commence également à exécuter des contrôles de sécurité et à générer des résultats pour les contrôles qui s'appliquent à la norme.
Avant d'activer une norme de sécurité, vous devez activer l'enregistrement des ressources AWS Config pour toutes les ressources utilisées par les contrôles applicables à la norme. Sinon, Security Hub risque de ne pas être en mesure de générer des résultats pour les contrôles qui s'appliquent à une norme. Pour de plus amples informations, veuillez consulter Configuration AWS Config pour Security Hub.
Vous pouvez choisir les commandes à activer et à désactiver dans chaque norme. La désactivation d'un contrôle arrête la génération de résultats pour le contrôle et le contrôle est ignoré lors du calcul des scores de sécurité.
Lorsque vous activez Security Hub, Security Hub calcule le score de sécurité initial d'une norme dans les 30 minutes suivant votre première visite sur la page Résumé ou sur la page des normes de sécurité de la console Security Hub. Jusqu'à 24 heures peuvent être nécessaires pour générer des scores de sécurité pour la première fois dans les régions chinoises et AWS GovCloud (US) Region. Les scores ne sont générés que pour les normes activées lorsque vous visitez ces pages. En outre, l'enregistrement AWS Config des ressources doit être configuré pour que les scores apparaissent. Une fois le score généré pour la première fois, Security Hub met à jour le score de sécurité toutes les 24 heures. Security Hub affiche un horodatage pour indiquer la date de dernière mise à jour d'un score de sécurité. Pour consulter la liste des normes actuellement activées dans votre compte, invoquez le GetEnabledStandards API.
Les instructions d'activation d'une norme varient selon que vous utilisez ou non la configuration centralisée. Vous pouvez utiliser la configuration centralisée si vous intégrez Security Hub et AWS Organizations. Nous vous recommandons d'utiliser une configuration centralisée si vous souhaitez activer les normes dans des environnements multicomptes et multirégionaux. Si vous n'utilisez pas la configuration centralisée, vous devez activer chaque norme individuellement dans chaque compte et dans chaque région.
Activation d'une norme dans plusieurs comptes et régions
Pour activer une norme de sécurité sur plusieurs comptes Régions AWS, vous devez utiliser une configuration centralisée.
Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration du Security Hub qui activent une ou plusieurs normes. Vous pouvez ensuite associer la politique de configuration à des comptes et unités organisationnelles spécifiques (OUs) ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.
Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir d'activer uniquement les meilleures pratiques de sécurité AWS fondamentales (FSBP) dans une unité d'organisation, et vous pouvez choisir d'activer FSBP Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 dans une autre unité d'organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui active les normes spécifiées, voir Création et association de politiques de configuration
Si vous utilisez la configuration centralisée, Security Hub n'active aucune norme automatiquement dans les comptes nouveaux ou existants. Au lieu de cela, lors de la création d'une politique de configuration, l'administrateur délégué définit les normes à activer dans les différents comptes. Security Hub propose une politique de configuration recommandée dans laquelle seul FSBP est activé. Pour de plus amples informations, veuillez consulter Types de politiques de configuration.
Note
L'administrateur délégué peut créer des politiques de configuration pour activer n'importe quelle norme, à l'exception de Service-Managed Standard :. AWS Control Tower Vous ne pouvez activer cette norme que dans le AWS Control Tower service. Si vous utilisez la configuration centralisée, vous pouvez activer et désactiver les contrôles dans cette norme pour un compte géré de manière centralisée uniquement dans AWS Control Tower.
Si vous souhaitez que certains comptes configurent leurs propres normes plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les normes séparément dans chaque région.
Activation d'une norme dans un seul compte et une seule région
Si vous n'utilisez pas de configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour activer les normes de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez suivre les étapes suivantes pour activer une norme dans un seul compte et une seule région.
