Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activation des contrôles dans Security Hub CSPM
<a name="securityhub-standards-enable-disable-controls"></a>

Dans AWS Security Hub CSPM, un contrôle est une mesure de protection dans le cadre d'une norme de sécurité qui aide une entreprise à protéger la confidentialité, l'intégrité et la disponibilité de ses informations. Chaque contrôle CSPM du Security Hub est lié à une ressource spécifique AWS . Lorsque vous activez un contrôle, Security Hub CSPM commence à exécuter des contrôles de sécurité pour le contrôle et génère des résultats pour celui-ci. Security Hub CSPM prend également en compte tous les contrôles activés lors du calcul des scores de sécurité.

Vous pouvez choisir d'activer le contrôle de toutes les normes de sécurité auxquelles il s'applique. Vous pouvez également configurer le statut d'activation différemment selon les normes. Nous recommandons la première option, dans laquelle le statut d'activation d'un contrôle est aligné sur toutes vos normes activées. Pour obtenir des instructions sur l'activation d'un contrôle dans toutes les normes auxquelles il s'applique, voir[Permettre un contrôle sur l'ensemble des normes](enable-controls-overview.md). Pour obtenir des instructions sur l'activation d'un contrôle dans des normes spécifiques, voir[Activation d'un contrôle dans une norme spécifique](controls-configure.md).

Si vous activez l'agrégation entre régions et que vous vous connectez à une région d'agrégation, la console Security Hub CSPM affiche les contrôles disponibles dans au moins une région liée. Si un contrôle est disponible dans une région liée mais pas dans la région d'agrégation, vous ne pouvez pas activer ou désactiver ce contrôle depuis la région d'agrégation.

Vous pouvez activer et désactiver les contrôles dans chaque région à l'aide de la console Security Hub CSPM, de l'API Security Hub CSPM ou. AWS CLI

Les instructions d'activation et de désactivation des commandes varient selon que vous utilisez ou non la [configuration centralisée](central-configuration-intro.md). Cette rubrique décrit les différences. La configuration centralisée est disponible pour les utilisateurs qui intègrent Security Hub CSPM et. AWS Organizations Nous recommandons d'utiliser une configuration centralisée pour simplifier le processus d'activation et de désactivation des contrôles dans les environnements multicomptes et multirégionaux. Si vous utilisez la configuration centralisée, vous pouvez activer le contrôle sur plusieurs comptes et régions à l'aide de politiques de configuration. Si vous n'utilisez pas la configuration centralisée, vous devez activer un contrôle séparément dans chaque région et chaque compte.

# Permettre un contrôle sur l'ensemble des normes
<a name="enable-controls-overview"></a>

Nous recommandons d'activer un contrôle AWS Security Hub CSPM pour toutes les normes auxquelles le contrôle s'applique. Si vous activez les résultats de contrôle consolidés, vous recevez un résultat par contrôle, même si un contrôle appartient à plusieurs normes.

## Activation multistandard dans des environnements multicomptes et multirégionaux
<a name="enable-controls-all-standards-central-configuration"></a>

Pour activer un contrôle de sécurité sur plusieurs Comptes AWS et Régions AWS, vous devez être connecté au compte administrateur délégué du Security Hub CSPM et utiliser la configuration [centralisée](central-configuration-intro.md).

Dans le cadre de la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration Security Hub CSPM qui permettent des contrôles spécifiques selon les normes activées. Vous pouvez ensuite associer la politique de configuration à des comptes et unités organisationnelles spécifiques (OUs) ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.

Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir d'activer tous les contrôles dans une unité d'organisation, et vous pouvez choisir d'activer uniquement les contrôles Amazon Elastic Compute Cloud (EC2) dans une autre unité d'organisation. Le niveau de granularité dépend des objectifs que vous vous êtes fixés en matière de couverture de sécurité au sein de votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui active des contrôles spécifiques entre les normes, consultez[Création et association de politiques de configuration](create-associate-policy.md).

**Note**  
L'administrateur délégué peut créer des politiques de configuration pour gérer les contrôles dans toutes les normes, à l'exception de la [norme de gestion des services](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) :. AWS Control Tower Les contrôles de cette norme doivent être configurés dans le AWS Control Tower service.

Si vous souhaitez que certains comptes configurent leurs propres contrôles plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les contrôles séparément dans chaque région.

## Activation multistandard dans un seul compte et dans une région
<a name="enable-controls-all-standards"></a>

Si vous n'utilisez pas de configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour activer les contrôles de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez suivre les étapes suivantes pour activer un contrôle dans un seul compte et une seule région.

------
#### [ Security Hub CSPM console ]

**Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Controls** dans le volet de navigation.

1. Choisissez l'onglet **Désactivé**.

1. Choisissez l'option située à côté d'un contrôle.

1. Choisissez **Activer le contrôle** (cette option n'apparaît pas pour un contrôle déjà activé).

1. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.

------
#### [ Security Hub CSPM API ]

**Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région**

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fournissez un identifiant de contrôle de sécurité.

   **Exemple de demande :**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Indiquez le nom de ressource Amazon (ARN) de toutes les normes dans lesquelles le contrôle n'est pas activé. Pour obtenir le standard ARNs, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Définissez le `AssociationStatus` paramètre comme étant égal à`ENABLED`. Si vous suivez ces étapes pour un contrôle déjà activé, l'API renvoie une réponse au code d'état HTTP 200.

   **Exemple de demande :**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.

------
#### [ AWS CLI ]

**Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région**

1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fournissez un identifiant de contrôle de sécurité.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Indiquez le nom de ressource Amazon (ARN) de toutes les normes dans lesquelles le contrôle n'est pas activé. Pour obtenir le standard ARNs, exécutez la `describe-standards` commande.

1. Définissez le `AssociationStatus` paramètre comme étant égal à`ENABLED`. Si vous suivez ces étapes pour un contrôle déjà activé, la commande renvoie une réponse de code d'état HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.

------

# Activation d'un contrôle dans une norme spécifique
<a name="controls-configure"></a>

Lorsque vous activez une norme dans AWS Security Hub CSPM, tous les contrôles qui s'y appliquent sont automatiquement activés dans cette norme (à l'exception des normes gérées par les services). Vous pouvez ensuite désactiver et réactiver des contrôles spécifiques dans le standard. Cependant, nous vous recommandons d'aligner le statut d'activation d'un contrôle sur l'ensemble de vos normes activées. Pour obtenir des instructions sur l'activation d'un contrôle pour toutes les normes, voir[Permettre un contrôle sur l'ensemble des normes](enable-controls-overview.md).

La page de détails d'une norme contient la liste des contrôles applicables à la norme, ainsi que des informations sur les contrôles actuellement activés et désactivés dans cette norme.

Sur la page de détails des normes, vous pouvez également activer les contrôles dans des normes spécifiques. Vous devez activer les contrôles dans des normes spécifiques séparément dans chaque Compte AWS et Région AWS. Lorsque vous activez un contrôle dans le cadre de normes spécifiques, cela n'a d'impact que sur le compte courant et la région.

Pour activer un contrôle dans une norme, vous devez d'abord activer au moins une norme à laquelle le contrôle s'applique. Pour obtenir des instructions sur l'activation d'une norme, consultez[Mise en place d'une norme de sécurité](enable-standards.md). Lorsque vous activez un contrôle dans une ou plusieurs normes, Security Hub CSPM commence à générer des résultats pour ce contrôle. Security Hub CSPM inclut l'[état du contrôle](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) dans le calcul du score de sécurité global et des scores de sécurité standard. Même si vous activez un contrôle selon plusieurs normes, vous recevrez un seul résultat par contrôle de sécurité pour toutes les normes si vous activez les résultats de contrôle consolidés. Pour plus d'informations, consultez la section [Résultats de contrôle consolidés](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) (français non garanti).

Pour activer un contrôle dans un standard, le contrôle doit être disponible dans votre région actuelle. Pour plus d'informations, voir [Disponibilité des contrôles par région](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).

Suivez ces étapes pour activer un contrôle Security Hub CSPM dans une norme *spécifique*. Au lieu des étapes suivantes, vous pouvez également utiliser l'action [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)API pour activer les contrôles dans une norme spécifique. Pour obtenir des instructions sur l'activation d'un contrôle dans *toutes les* normes, voir[Activation multistandard dans un seul compte et dans une région](enable-controls-overview.md#enable-controls-all-standards).

------
#### [ Security Hub CSPM console ]

**Pour activer un contrôle dans une norme spécifique**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Normes de sécurité** dans le volet de navigation.

1. Choisissez **Afficher les résultats** pour la norme correspondante.

1. Sélectionnez un contrôle.

1. Choisissez **Activer le contrôle** (cette option n'apparaît pas pour un contrôle déjà activé). Confirmez en choisissant **Activer**.

------
#### [ Security Hub CSPM API ]

**Pour activer un contrôle dans une norme spécifique**

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`Exécutez et fournissez un ARN standard pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir un ARN standard, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Cette API renvoie un contrôle de sécurité indépendant de la norme IDs, et non un contrôle spécifique à une norme. IDs

   **Exemple de demande :**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.

   **Exemple de demande :**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Indiquez l'ARN de la norme dans laquelle vous souhaitez activer le contrôle.

1. Définissez le `AssociationStatus` paramètre comme étant égal à`ENABLED`.

   **Exemple de demande :**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**Pour activer un contrôle dans une norme spécifique**

1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` commande et fournissez un ARN standard pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir un ARN standard, exécutez`describe-standards`. Cette commande renvoie un contrôle de sécurité indépendant de la norme IDs, et non un contrôle spécifique à une norme. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` commande et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Exécutez la commande `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Indiquez l'ARN de la norme dans laquelle vous souhaitez activer le contrôle.

1. Définissez le `AssociationStatus` paramètre comme étant égal à`ENABLED`.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# Activation automatique de nouveaux contrôles dans les normes activées
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM publie régulièrement de nouveaux contrôles et les ajoute à une ou plusieurs normes. Vous pouvez choisir d'activer automatiquement les nouvelles commandes dans vos normes activées.

Nous vous recommandons d'utiliser la configuration centrale du Security Hub CSPM pour activer automatiquement les nouveaux contrôles de sécurité. Vous pouvez créer des politiques de configuration qui incluent une liste de contrôles à désactiver selon les normes. Toutes les autres commandes, y compris celles récemment publiées, sont activées par défaut. Vous pouvez également créer des politiques qui incluent une liste de contrôles à activer selon les normes. Toutes les autres commandes, y compris celles récemment publiées, sont désactivées par défaut. Pour de plus amples informations, veuillez consulter [Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

Security Hub CSPM n'active pas de nouveaux contrôles lorsqu'ils sont ajoutés à une norme que vous n'avez pas activée.

Les instructions suivantes s'appliquent uniquement si vous n'utilisez pas la configuration centralisée.

Choisissez votre méthode d'accès préférée et suivez les étapes pour activer automatiquement les nouveaux contrôles dans les normes activées.

**Note**  
Lorsque vous activez automatiquement de nouvelles commandes à l'aide des instructions suivantes, vous pouvez interagir avec les commandes dans la console et par programmation immédiatement après leur publication. Toutefois, le statut par défaut temporaire des contrôles activés automatiquement **est Désactivé**. Plusieurs jours peuvent être nécessaires pour que Security Hub CSPM traite la version de contrôle et désigne le contrôle comme étant **activé** dans votre compte. Pendant la période de traitement, vous pouvez activer ou désactiver manuellement un contrôle, et Security Hub CSPM conservera cette désignation, que l'activation automatique du contrôle soit activée ou non.

------
#### [ Security Hub CSPM console ]

**Pour activer automatiquement les nouvelles commandes**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le volet de navigation, choisissez **Paramètres**, puis cliquez sur l'onglet **Général**.

1. Sous **Contrôles**, choisissez **Modifier**.

1. Activez l'**activation automatique des nouvelles commandes dans les normes activées**.

1. Choisissez **Enregistrer**.

------
#### [ Security Hub CSPM API ]

**Pour activer automatiquement les nouvelles commandes**

1. Exécutez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).

1. Pour activer automatiquement de nouvelles commandes pour les normes activées, définissez `AutoEnableControls` sur`true`. Si vous ne souhaitez pas activer automatiquement les nouvelles commandes, définissez le paramètre `AutoEnableControls` sur false.

------
#### [ AWS CLI ]

**Pour activer automatiquement les nouvelles commandes**

1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).

1. Pour activer automatiquement de nouvelles commandes pour les normes activées, spécifiez`--auto-enable-controls`. Si vous ne souhaitez pas activer automatiquement les nouvelles commandes, spécifiez`--no-auto-enable-controls`.

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **Exemple de commande**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

Si vous n'activez pas automatiquement les nouvelles commandes, vous devez les activer manuellement. Pour obtenir des instructions, veuillez consulter [Activation des contrôles dans Security Hub CSPM](securityhub-standards-enable-disable-controls.md).