Mise à jour des politiques de configuration - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise à jour des politiques de configuration

Après avoir créé une politique de configuration, le compte d' AWS Security Hub administrateur délégué peut mettre à jour les détails de la politique et les associations de politiques. Lorsque les détails de la politique sont mis à jour, les comptes associés à la stratégie de configuration commencent automatiquement à utiliser la politique mise à jour.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultezComprendre la configuration centrale dans Security Hub.

L'administrateur délégué peut mettre à jour les paramètres de stratégie suivants :

  • Activez ou désactivez Security Hub.

  • Activez une ou plusieurs normes de sécurité.

  • Indiquez quels contrôles de sécurité sont activés dans le cadre des normes activées. Vous pouvez le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub désactive tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés. Vous pouvez également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub active tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés.

  • Vous pouvez éventuellement personnaliser les paramètres pour sélectionner les contrôles activés selon les normes activées.

Choisissez votre méthode préférée et suivez les étapes pour mettre à jour une politique de configuration.

Note

Si vous utilisez la configuration centralisée, Security Hub désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine. Lorsque vous utilisez la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans aucune des régions associées. Pour obtenir la liste des contrôles impliquant des ressources globales, voirContrôles utilisant des ressources globales.

Console
Pour mettre à jour les politiques de configuration
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.

  2. Dans le volet de navigation, sélectionnez Paramètres et configuration.

  3. Choisissez l'onglet Policies.

  4. Sélectionnez la politique de configuration que vous souhaitez modifier, puis choisissez Modifier. Si vous le souhaitez, modifiez les paramètres de politique. Laissez cette section telle quelle si vous souhaitez conserver les paramètres de stratégie inchangés.

  5. Choisissez Next. Si vous le souhaitez, modifiez les associations de politiques. Laissez cette section telle quelle si vous souhaitez conserver les associations de politiques inchangées. Vous pouvez associer ou dissocier la politique à un maximum de 15 cibles (comptes ou root) lorsque vous la mettez à jour. OUs

  6. Choisissez Suivant.

  7. Passez en revue vos modifications, puis choisissez Enregistrer et appliquer. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à une politique de configuration par le biais d'une application ou d'un héritage d'un nœud parent.

API
Pour mettre à jour les politiques de configuration
  1. Pour mettre à jour les paramètres d'une politique de configuration, appelez le UpdateConfigurationPolicyAPIdepuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

  2. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.

  3. Fournissez des valeurs mises à jour pour les champs ci-dessousConfigurationPolicy. Vous pouvez éventuellement indiquer le motif de la mise à jour.

  4. Pour ajouter de nouvelles associations pour cette politique de configuration, appelez le StartConfigurationPolicyAssociationAPIdepuis le compte d'administrateur délégué du Security Hub dans la région d'origine. Pour supprimer une ou plusieurs associations actuelles, invoquez le StartConfigurationPolicyDisassociationAPIdepuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

  5. Pour le ConfigurationPolicyIdentifier champ, indiquez le ARN ou l'ID de la politique de configuration dont vous souhaitez mettre à jour les associations.

  6. Pour le Target champ, indiquez les comptes ou l'ID racine que vous souhaitez associer ou dissocier. OUs Cette action remplace les associations de politiques précédentes pour les comptes OUs ou les comptes spécifiés.

Note

Lorsque vous invoquez le UpdateConfigurationPolicyAPI, Security Hub remplace la liste complète des SecurityControlCustomParameters champs EnabledStandardIdentifiers EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers,, et. Chaque fois que vous l'invoquezAPI, fournissez la liste complète des normes que vous souhaitez activer et la liste complète des contrôles que vous souhaitez activer ou désactiver et pour lesquels vous souhaitez personnaliser les paramètres.

Exemple de API demande de mise à jour d'une politique de configuration :

{ "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Description": "Updated configuration policy", "UpdatedReason": "Disabling CloudWatch.1", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2", "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
AWS CLI
Pour mettre à jour les politiques de configuration
  1. Pour mettre à jour les paramètres d'une politique de configuration, exécutez update-configuration-policycommande depuis le compte administrateur délégué de Security Hub dans la région d'origine.

  2. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.

  3. Fournissez des valeurs mises à jour pour les champs ci-dessousconfiguration-policy. Vous pouvez éventuellement indiquer le motif de la mise à jour.

  4. Pour ajouter de nouvelles associations pour cette politique de configuration, exécutez start-configuration-policy-associationcommande depuis le compte administrateur délégué de Security Hub dans la région d'origine. Pour supprimer une ou plusieurs associations actuelles, exécutez start-configuration-policy-disassociationcommande depuis le compte administrateur délégué de Security Hub dans la région d'origine.

  5. Pour le configuration-policy-identifier champ, indiquez le ARN ou l'ID de la politique de configuration dont vous souhaitez mettre à jour les associations.

  6. Pour le target champ, indiquez les comptes ou l'ID racine que vous souhaitez associer ou dissocier. OUs Cette action remplace les associations de politiques précédentes pour les comptes OUs ou les comptes spécifiés.

Note

Lorsque vous exécutez la update-configuration-policy commande, Security Hub remplace la liste complète des SecurityControlCustomParameters champs EnabledStandardIdentifiers EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers,, et. Chaque fois que vous exécutez cette commande, fournissez la liste complète des normes que vous souhaitez activer et la liste complète des contrôles que vous souhaitez activer ou désactiver et pour lesquels vous souhaitez personnaliser les paramètres.

Exemple de commande pour mettre à jour une politique de configuration :

aws securityhub update-configuration-policy \ --region us-east-1 \ --identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --description "Updated configuration policy" \ --updated-reason "Disabling CloudWatch.1" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

StartConfigurationPolicyAssociationAPIRenvoie un champ appeléAssociationStatus. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage du statut à SUCCESS ou peut prendre jusqu'à 24 heuresFAILURE. PENDING Pour plus d'informations sur le statut de l'association, consultezRévision du statut d'association d'une politique de configuration.