Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengaktifkan Security Hub CSPM
<a name="securityhub-settingup"></a>

Ada dua cara untuk mengaktifkan AWS Security Hub CSPM, dengan mengintegrasikan dengan AWS Organizations atau secara manual.

Kami sangat menyarankan untuk berintegrasi dengan Organizations untuk lingkungan multi-akun dan Multi-wilayah. Jika Anda memiliki akun mandiri, Anda perlu menyiapkan Security Hub CSPM secara manual.

## Memverifikasi izin yang diperlukan
<a name="securityhub-setup-permissions"></a>

Setelah mendaftar Amazon Web Services (AWS), Anda harus mengaktifkan Security Hub CSPM untuk menggunakan kemampuan dan fitur-fiturnya. Untuk mengaktifkan CSPM Security Hub, pertama-tama Anda harus menyiapkan izin yang memungkinkan Anda mengakses konsol CSPM Security Hub dan operasi API. Anda atau AWS administrator Anda dapat melakukan ini dengan menggunakan AWS Identity and Access Management (IAM) untuk melampirkan kebijakan AWS terkelola yang dipanggil `AWSSecurityHubFullAccess` ke identitas IAM Anda.

Untuk mengaktifkan dan mengelola Security Hub CSPM melalui integrasi Organizations, Anda juga harus melampirkan kebijakan AWS terkelola yang disebut. `AWSSecurityHubOrganizationsAccess`

Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola untuk Security Hub](security-iam-awsmanpol.md).

## Mengaktifkan CSPM Security Hub dengan Integrasi Organizations
<a name="securityhub-orgs-setup-overview"></a>

Untuk mulai menggunakan CSPM Security Hub AWS Organizations, akun AWS Organizations manajemen untuk organisasi menetapkan akun sebagai akun administrator CSPM Security Hub yang didelegasikan untuk organisasi. Security Hub CSPM secara otomatis diaktifkan di akun administrator yang didelegasikan di Wilayah saat ini.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menunjuk administrator yang didelegasikan.

------
#### [ Security Hub CSPM console ]

**Untuk menunjuk administrator CSPM Security Hub yang didelegasikan saat melakukan orientasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Buka Security Hub CSPM**. Anda diminta untuk masuk ke akun manajemen Organisasi.

1. Pada halaman **Tentukan administrator yang didelegasikan**, di bagian **Akun administrator yang didelegasikan, tentukan akun administrator** yang didelegasikan. Sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya.

1. Pilih **Setel administrator yang didelegasikan**.

------
#### [ Security Hub CSPM API ]

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)API dari akun manajemen Organizations. Berikan Akun AWS ID akun administrator yang didelegasikan CSPM Security Hub.

------
#### [ AWS CLI ]

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)perintah dari akun manajemen Organizations. Berikan Akun AWS ID akun administrator yang didelegasikan CSPM Security Hub.

**Contoh perintah:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Untuk informasi selengkapnya tentang integrasi dengan Organizations, lihat[Mengintegrasikan CSPM Security Hub dengan AWS Organizations](designate-orgs-admin-account.md).

### Konfigurasi pusat
<a name="securityhub-central-config"></a>

Saat mengintegrasikan Security Hub CSPM dan Organizations, Anda memiliki opsi untuk menggunakan fitur yang disebut [konfigurasi pusat](central-configuration-intro.md) untuk menyiapkan dan mengelola CSPM Security Hub untuk organisasi Anda. Kami sangat menyarankan menggunakan konfigurasi pusat karena memungkinkan administrator menyesuaikan cakupan keamanan untuk organisasi. Jika perlu, administrator yang didelegasikan dapat mengizinkan akun anggota untuk mengonfigurasi pengaturan cakupan keamanannya sendiri.

Konfigurasi pusat memungkinkan administrator yang didelegasikan mengonfigurasi CSPM Security Hub di seluruh akun,, OUs dan. Wilayah AWS Administrator yang didelegasikan mengonfigurasi CSPM Security Hub dengan membuat kebijakan konfigurasi. Dalam kebijakan konfigurasi, Anda dapat menentukan pengaturan berikut:
+ Apakah CSPM Security Hub diaktifkan atau dinonaktifkan
+ Standar keamanan mana yang diaktifkan dan dinonaktifkan
+ Kontrol keamanan mana yang diaktifkan dan dinonaktifkan
+ Apakah akan menyesuaikan parameter untuk kontrol tertentu

Sebagai administrator yang didelegasikan, Anda dapat membuat kebijakan konfigurasi tunggal untuk seluruh organisasi atau kebijakan konfigurasi yang berbeda untuk berbagai akun dan OUs. Misalnya, akun pengujian dan akun produksi dapat menggunakan kebijakan konfigurasi yang berbeda.

Akun anggota dan OUs yang menggunakan kebijakan konfigurasi *dikelola secara terpusat* dan hanya dapat dikonfigurasi oleh administrator yang didelegasikan. Administrator yang didelegasikan dapat menunjuk akun anggota tertentu dan OUs *dikelola sendiri* untuk memberi anggota kemampuan untuk mengonfigurasi pengaturannya sendiri berdasarkan suatu dasar. Region-by-Region

Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengonfigurasi CSPM Security Hub secara terpisah di setiap akun dan Wilayah. Ini disebut [konfigurasi lokal](local-configuration.md). Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan CSPM Security Hub dan serangkaian standar keamanan terbatas di akun organisasi baru di Wilayah saat ini. Konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau Wilayah selain Wilayah saat ini. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

## Mengaktifkan Security Hub CSPM secara manual
<a name="securityhub-manual-setup-overview"></a>

Anda harus mengaktifkan Security Hub CSPM secara manual jika Anda memiliki akun mandiri, atau jika Anda tidak mengintegrasikan dengan. AWS Organizations Akun mandiri tidak dapat diintegrasikan dengan AWS Organizations dan harus menggunakan pengaktifan manual.

Saat mengaktifkan CSPM Security Hub secara manual, Anda menetapkan akun administrator CSPM Security Hub dan mengundang akun lain untuk menjadi akun anggota. Hubungan administrator-anggota terbentuk ketika akun calon anggota menerima undangan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan Security Hub CSPM. Saat mengaktifkan CSPM Security Hub dari konsol, Anda juga memiliki opsi untuk mengaktifkan standar keamanan yang didukung.

------
#### [ Security Hub CSPM console ]

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Saat Anda membuka konsol CSPM Security Hub untuk pertama kalinya, pilih **Buka CSPM Security Hub**.

1. Pada halaman selamat datang, bagian **Standar keamanan mencantumkan standar** keamanan yang didukung Security Hub CSPM.

   Pilih kotak centang untuk standar untuk mengaktifkannya, dan kosongkan kotak centang untuk menonaktifkannya.

   Anda dapat mengaktifkan atau menonaktifkan standar atau kontrol individualnya kapan saja. Untuk informasi tentang mengelola standar keamanan, lihat[Memahami standar keamanan di Security Hub CSPM](standards-view-manage.md).

1. Pilih **Aktifkan Security Hub**.

------
#### [ Security Hub CSPM API ]

Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html)API. Bila Anda mengaktifkan Security Hub CSPM dari API, maka secara otomatis mengaktifkan standar keamanan default berikut:
+ AWS Praktik Terbaik Keamanan Dasar
+ Tolok Ukur AWS Yayasan Pusat Keamanan Internet (CIS) v1.2.0

Jika Anda tidak ingin mengaktifkan standar ini, maka atur `EnableDefaultStandards` ke`false`.

Anda juga dapat menggunakan `Tags` parameter untuk menetapkan nilai tag ke sumber daya hub.

------
#### [ AWS CLI ]

Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Untuk mengaktifkan standar default, sertakan`--enable-default-standards`. Untuk tidak mengaktifkan standar default, sertakan`--no-enable-default-standards`. Standar keamanan default adalah sebagai berikut:
+ AWS Praktik Terbaik Keamanan Dasar
+ Tolok Ukur AWS Yayasan Pusat Keamanan Internet (CIS) v1.2.0

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Contoh**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Skrip pengaktifan multi-akun
<a name="securityhub-enable-multiaccount-script"></a>

**catatan**  
Alih-alih skrip ini, sebaiknya gunakan konfigurasi pusat untuk mengaktifkan dan mengkonfigurasi CSPM Security Hub di beberapa akun dan Wilayah. 

[Skrip pengaktifan multi-akun Security Hub CSPM GitHub memungkinkan Anda mengaktifkan CSPM Security Hub di](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) seluruh akun dan Wilayah. Skrip ini juga mengotomatiskan proses pengiriman undangan ke akun anggota dan mengaktifkan. AWS Config

Skrip secara otomatis memungkinkan perekaman AWS Config sumber daya untuk semua sumber daya, termasuk sumber daya global, di semua Wilayah. Ini tidak membatasi pencatatan sumber daya global ke satu Wilayah. Untuk menghemat biaya, kami sarankan untuk mencatat sumber daya global hanya dalam satu Wilayah. Jika Anda menggunakan konfigurasi pusat atau agregasi lintas wilayah, ini harus menjadi Wilayah asal Anda. Untuk informasi selengkapnya, lihat [Merekam sumber daya di AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Ada skrip yang sesuai untuk menonaktifkan CSPM Security Hub di seluruh akun dan Wilayah.

## Langkah selanjutnya: Manajemen dan integrasi postur
<a name="securityhub-enable-next-steps"></a>

Setelah mengaktifkan Security Hub CSPM, sebaiknya aktifkan standar keamanan dan kontrol untuk memantau postur keamanan Anda. Setelah Anda mengaktifkan kontrol, Security Hub CSPM mulai menjalankan pemeriksaan keamanan dan menghasilkan temuan kontrol yang membantu Anda mendeteksi kesalahan konfigurasi di lingkungan Anda. AWS Untuk menerima temuan kontrol, Anda harus mengaktifkan dan mengkonfigurasi AWS Config untuk Security Hub CSPM. Untuk informasi selengkapnya, lihat [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md).

Setelah mengaktifkan Security Hub CSPM, Anda juga dapat memanfaatkan integrasi antara Security Hub CSPM dan solusi pihak ketiga lainnya Layanan AWS untuk melihat temuan mereka di Security Hub CSPM. Security Hub CSPM mengumpulkan temuan dari berbagai sumber dan mencernanya dalam format yang konsisten. Lihat informasi yang lebih lengkap di [Memahami integrasi dalam Security Hub CSPM](securityhub-findings-providers.md). 

# Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM menggunakan AWS Config aturan untuk menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk sebagian besar kontrol. AWS Config memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini menggunakan aturan untuk membuat konfigurasi dasar untuk sumber daya Anda dan perekam konfigurasi untuk mendeteksi apakah sumber daya tertentu melanggar ketentuan aturan.

Beberapa aturan, disebut sebagai aturan AWS Config terkelola, telah ditentukan dan dikembangkan oleh AWS Config. Aturan lainnya adalah AWS Config aturan khusus yang dikembangkan Security Hub CSPM. AWS Config aturan yang digunakan CSPM Security Hub untuk kontrol disebut sebagai aturan terkait *layanan*. Aturan terkait layanan memungkinkan Layanan AWS seperti Security Hub CSPM untuk membuat AWS Config aturan di akun Anda. 

Untuk menerima temuan kontrol di Security Hub CSPM, Anda harus mengaktifkan akun AWS Config Anda. Anda juga harus mengaktifkan perekaman sumber daya untuk jenis sumber daya yang memungkinkan evaluasi kontrol. Security Hub CSPM kemudian dapat membuat AWS Config aturan yang sesuai untuk kontrol dan mulai menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk kontrol.

**Topics**
+ [Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config](#securityhub-prereq-config)
+ [Merekam sumber daya di AWS Config](#config-resource-recording)
+ [Cara untuk mengaktifkan dan mengkonfigurasi AWS Config](#config-how-to-enable)
+ [Memahami kontrol Config.1](#config-1-overview)
+ [Menghasilkan aturan terkait layanan](#securityhub-standards-generate-awsconfigrules)
+ [Pertimbangan Biaya](#config-cost-considerations)

## Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config
<a name="securityhub-prereq-config"></a>

Untuk menerima temuan kontrol di Security Hub CSPM, AWS Config harus diaktifkan untuk akun Anda di setiap Wilayah AWS tempat CSPM Security Hub diaktifkan. Jika Anda menggunakan Security Hub CSPM untuk lingkungan multi-akun, AWS Config harus diaktifkan di setiap Wilayah untuk akun administrator dan semua akun anggota.

Kami sangat menyarankan agar Anda mengaktifkan perekaman sumber daya AWS Config *sebelum* Anda mengaktifkan standar dan kontrol CSPM Security Hub. Ini membantu Anda memastikan bahwa temuan kontrol Anda akurat.

Untuk mengaktifkan perekaman sumber daya AWS Config, Anda harus memiliki izin yang cukup untuk merekam sumber daya dalam peran AWS Identity and Access Management (IAM) yang dilampirkan ke perekam konfigurasi. Selain itu, pastikan bahwa tidak ada kebijakan atau AWS Organizations kebijakan IAM yang AWS Config mencegah izin untuk merekam sumber daya Anda. Kontrol CSPM Security Hub mengevaluasi konfigurasi sumber daya secara langsung dan tidak memperhitungkan AWS Organizations kebijakan. Untuk informasi selengkapnya tentang AWS Config perekaman, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.

Jika Anda mengaktifkan standar di CSPM Security Hub tetapi belum diaktifkan AWS Config, CSPM Security Hub mencoba membuat AWS Config aturan terkait layanan sesuai dengan jadwal berikut:
+ Pada hari Anda mengaktifkan standar.
+ Sehari setelah Anda mengaktifkan standar.
+ 3 hari setelah Anda mengaktifkan standar.
+ 7 hari setelah Anda mengaktifkan standar, dan terus menerus setiap 7 hari setelahnya.

Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM juga mencoba membuat AWS Config aturan terkait layanan setiap kali Anda mengaitkan kebijakan konfigurasi yang memungkinkan satu atau beberapa standar dengan akun, unit organisasi (OUs), atau root.

## Merekam sumber daya di AWS Config
<a name="config-resource-recording"></a>

Saat Anda mengaktifkan AWS Config, Anda harus menentukan AWS sumber daya mana yang ingin direkam oleh perekam AWS Config konfigurasi. Melalui aturan terkait layanan, perekam konfigurasi memungkinkan CSPM Security Hub mendeteksi perubahan pada konfigurasi sumber daya Anda.

Agar CSPM Security Hub menghasilkan temuan kontrol yang akurat, Anda harus mengaktifkan perekaman AWS Config untuk jenis sumber daya yang sesuai dengan kontrol yang diaktifkan. Ini terutama mengaktifkan kontrol dengan jenis jadwal yang *dipicu perubahan* yang memerlukan perekaman sumber daya. Beberapa kontrol dengan jenis jadwal *periodik* juga memerlukan perekaman sumber daya. Untuk daftar kontrol ini dan sumber daya yang sesuai, lihat[AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md).

**Awas**  
Jika Anda tidak mengonfigurasi AWS Config perekaman dengan benar untuk kontrol CSPM Security Hub, ini dapat menghasilkan temuan kontrol yang tidak akurat, terutama dalam kasus berikut:  
Anda tidak pernah merekam sumber daya untuk kontrol tertentu, atau Anda menonaktifkan perekaman sumber daya sebelum membuat jenis sumber daya tersebut. Dalam kasus ini, Anda menerima `WARNING` temuan untuk kontrol yang dipermasalahkan, meskipun Anda mungkin telah membuat sumber daya dalam lingkup kontrol setelah Anda menonaktifkan perekaman. `WARNING`Temuan ini adalah temuan default yang tidak benar-benar mengevaluasi status konfigurasi sumber daya.
Anda menonaktifkan perekaman untuk sumber daya yang dievaluasi oleh kontrol tertentu. Dalam hal ini, Security Hub CSPM mempertahankan temuan kontrol yang dihasilkan sebelum Anda menonaktifkan perekaman, meskipun kontrol tidak mengevaluasi sumber daya baru atau yang diperbarui. Security Hub CSPM juga mengubah status kepatuhan temuan menjadi. `WARNING` Temuan yang dipertahankan ini mungkin tidak secara akurat mencerminkan status konfigurasi sumber daya saat ini.

Secara default, AWS Config mencatat semua *sumber daya Regional* yang didukung yang ditemukan Wilayah AWS di mana ia berjalan. Untuk menerima semua temuan kontrol CSPM Security Hub, Anda juga harus mengonfigurasi AWS Config untuk merekam sumber daya *global*. Untuk menghemat biaya, kami sarankan untuk mencatat sumber daya global hanya dalam satu Wilayah. Jika Anda menggunakan konfigurasi pusat atau agregasi lintas wilayah, Wilayah ini harus menjadi Wilayah asal Anda.

Di AWS Config, Anda dapat memilih antara *perekaman berkelanjutan* dan *perekaman harian* perubahan status sumber daya. Jika Anda memilih perekaman harian, AWS Config mengirimkan data konfigurasi sumber daya pada akhir setiap periode 24 jam jika ada perubahan status sumber daya. Jika tidak ada perubahan, tidak ada data yang dikirimkan. Hal ini dapat menunda pembuatan temuan CSPM Security Hub untuk kontrol yang dipicu perubahan hingga periode 24 jam selesai.

Untuk informasi selengkapnya tentang AWS Config perekaman, lihat [Merekam AWS sumber daya](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) di *Panduan AWS Config Pengembang*.

## Cara untuk mengaktifkan dan mengkonfigurasi AWS Config
<a name="config-how-to-enable"></a>

Anda dapat mengaktifkan AWS Config dan mengaktifkan perekaman sumber daya dengan salah satu cara berikut:
+ **AWS Config konsol** — Anda dapat mengaktifkan AWS Config akun dengan menggunakan AWS Config konsol. Untuk petunjuk, lihat [Menyiapkan AWS Config dengan konsol](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) di *Panduan AWS Config Pengembang*.
+ **AWS CLI atau SDKs** — Anda dapat mengaktifkan AWS Config akun dengan menggunakan AWS Command Line Interface (AWS CLI). Untuk petunjuk, lihat [Menyiapkan AWS Config dengan AWS CLI di](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) *Panduan AWS Config Pengembang*. AWS kit pengembangan perangkat lunak (SDKs) juga tersedia untuk banyak bahasa pemrograman.
+ **CloudFormation template** — AWS Config Untuk mengaktifkan banyak akun, kami sarankan menggunakan AWS CloudFormation template bernama **Enable AWS Config**. Untuk mengakses template ini, lihat [AWS CloudFormation StackSet contoh template](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) di *Panduan AWS CloudFormation Pengguna*.

  Secara default, template ini tidak termasuk rekaman untuk sumber daya global IAM. Pastikan Anda mengaktifkan perekaman untuk sumber daya global IAM hanya dalam satu Wilayah AWS untuk menghemat biaya perekaman. Jika Anda mengaktifkan agregasi lintas wilayah, ini harus menjadi Wilayah asal [CSPM Security Hub](finding-aggregation.md) Anda. Jika tidak, dapat berupa Wilayah mana pun yang tersedia CSPM Security Hub yang mendukung perekaman sumber daya global IAM. Kami merekomendasikan menjalankan satu StackSet untuk merekam semua sumber daya, termasuk sumber daya global IAM, di Wilayah asal atau Wilayah terpilih lainnya. Kemudian, jalankan satu detik StackSet untuk merekam semua sumber daya kecuali sumber daya global IAM di Wilayah lain.
+ **GitHub script** — Security Hub CSPM menawarkan [GitHubskrip](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) yang memungkinkan Security Hub CSPM dan AWS Config untuk beberapa akun di seluruh Wilayah. Skrip ini berguna jika Anda belum terintegrasi AWS Organizations, atau Anda memiliki beberapa akun anggota yang bukan bagian dari organisasi.

Untuk informasi selengkapnya, lihat posting blog berikut di *blog AWS Keamanan*: [Optimalkan AWS Config untuk AWS Security Hub CSPM untuk mengelola postur keamanan cloud Anda secara efektif](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Memahami kontrol Config.1
<a name="config-1-overview"></a>

Di CSPM Security Hub, kontrol [Config.1](config-controls.md#config-1) menghasilkan `FAILED` temuan di akun Anda jika dinonaktifkan. AWS Config Ini juga menghasilkan `FAILED` temuan di akun Anda jika AWS Config diaktifkan tetapi perekaman sumber daya tidak diaktifkan. 

Jika AWS Config diaktifkan dan perekaman sumber daya diaktifkan, tetapi perekaman sumber daya tidak diaktifkan untuk jenis sumber daya yang diperiksa oleh kontrol yang diaktifkan, CSPM Security Hub akan menghasilkan `FAILED` temuan untuk kontrol Config.1. Selain `FAILED` temuan ini, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol yang diaktifkan dan jenis sumber daya yang diperiksa kontrol. Misalnya, jika Anda mengaktifkan kontrol [KMS.5](kms-controls.md#kms-5) dan perekaman sumber daya tidak diaktifkan, Security AWS KMS keys Hub CSPM akan menghasilkan `FAILED` temuan untuk kontrol Config.1. Security Hub CSPM juga menghasilkan `WARNING` temuan untuk kontrol KMS.5 dan kunci KMS Anda.

Untuk menerima `PASSED` temuan untuk kontrol Config.1, aktifkan perekaman sumber daya untuk semua jenis sumber daya yang sesuai dengan kontrol yang diaktifkan. Juga nonaktifkan kontrol yang tidak diperlukan untuk organisasi Anda. Ini membantu memastikan bahwa Anda tidak memiliki celah konfigurasi dalam pemeriksaan kontrol keamanan Anda. Ini juga membantu memastikan bahwa Anda menerima temuan akurat tentang sumber daya yang salah konfigurasi.

Jika Anda adalah administrator CSPM Security Hub yang didelegasikan untuk organisasi, AWS Config rekaman harus dikonfigurasi dengan benar untuk akun dan akun anggota Anda. Jika Anda menggunakan agregasi lintas wilayah, AWS Config perekaman harus dikonfigurasi dengan benar di Wilayah beranda dan semua Wilayah yang ditautkan. Sumber daya global tidak perlu dicatat di Wilayah terkait.

## Menghasilkan aturan terkait layanan
<a name="securityhub-standards-generate-awsconfigrules"></a>

Untuk setiap kontrol yang menggunakan AWS Config aturan terkait layanan, Security Hub CSPM membuat instance aturan yang diperlukan di lingkungan Anda. AWS 

Aturan terkait layanan ini khusus untuk Security Hub CSPM. Security Hub CSPM membuat aturan terkait layanan ini meskipun contoh lain dari aturan yang sama sudah ada. Aturan terkait layanan ditambahkan `securityhub` sebelum nama aturan asli dan pengidentifikasi unik setelah nama aturan. Misalnya, untuk aturan AWS Config terkelola`vpc-flow-logs-enabled`, nama aturan terkait layanan mungkin. `securityhub-vpc-flow-logs-enabled-12345`

Ada kuota untuk jumlah aturan AWS Config terkelola yang dapat digunakan untuk mengevaluasi kontrol. AWS Config aturan yang dibuat oleh Security Hub CSPM tidak diperhitungkan dalam kuota tersebut. Anda dapat mengaktifkan standar keamanan meskipun Anda telah mencapai AWS Config kuota untuk aturan terkelola di akun Anda. Untuk mempelajari kuota AWS Config aturan selengkapnya, lihat [Batas layanan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) di *Panduan AWS Config Pengembang*.

## Pertimbangan Biaya
<a name="config-cost-considerations"></a>

Security Hub CSPM dapat memengaruhi biaya perekam AWS Config konfigurasi Anda dengan memperbarui item `AWS::Config::ResourceCompliance` konfigurasi. Pembaruan dapat terjadi setiap kali kontrol CSPM Security Hub yang terkait dengan AWS Config aturan mengubah status kepatuhan, diaktifkan atau dinonaktifkan, atau memiliki pembaruan parameter. Jika Anda menggunakan perekam AWS Config konfigurasi hanya untuk Security Hub CSPM, dan tidak menggunakan item konfigurasi ini untuk tujuan lain, kami sarankan untuk mematikan perekaman untuk itu. AWS Config Ini dapat mengurangi AWS Config biaya Anda. Anda tidak perlu merekam pemeriksaan keamanan `AWS::Config::ResourceCompliance` agar berfungsi di Security Hub CSPM.

[Untuk informasi tentang biaya yang terkait dengan pencatatan sumber daya, lihat [harga dan AWS Config harga CSPM AWS Security Hub](https://aws.amazon.com/security-hub/pricing/).](https://aws.amazon.com/config/pricing/)

# Memahami konfigurasi lokal di Security Hub CSPM
<a name="local-configuration"></a>

Konfigurasi lokal adalah cara default AWS organisasi dikonfigurasi di Security Hub CSPM. Jika Anda tidak ikut serta dan mengaktifkan konfigurasi pusat, organisasi Anda menggunakan konfigurasi lokal secara default.

Di bawah konfigurasi lokal, akun administrator CSPM Security Hub yang didelegasikan memiliki kontrol terbatas atas pengaturan konfigurasi. Satu-satunya pengaturan yang dapat diterapkan oleh administrator yang didelegasikan secara otomatis mengaktifkan CSPM Security Hub dan standar keamanan default di akun organisasi baru. Pengaturan ini hanya berlaku di Wilayah tempat Anda menetapkan akun administrator yang didelegasikan. Standar keamanan default adalah AWS Foundational Security Best Practices (FSBP) dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Setelan konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau ke Wilayah selain yang ditunjuk untuk akun administrator yang didelegasikan.

Selain mengaktifkan CSPM Security Hub dan standar default di akun organisasi baru di satu Wilayah, Anda harus mengonfigurasi setelan CSPM Security Hub lainnya, termasuk standar dan kontrol, secara terpisah di setiap Wilayah dan akun. Karena ini bisa menjadi proses duplikatif, sebaiknya gunakan konfigurasi pusat untuk lingkungan multi-akun jika satu atau beberapa hal berikut berlaku untuk Anda:
+ Anda menginginkan pengaturan konfigurasi yang berbeda untuk berbagai bagian organisasi Anda (misalnya, standar atau kontrol yang diaktifkan berbeda untuk tim yang berbeda).
+ Anda beroperasi di beberapa Wilayah dan ingin mengurangi waktu dan kompleksitas mengonfigurasi layanan di seluruh Wilayah ini.
+ Anda ingin akun baru menggunakan pengaturan konfigurasi tertentu saat mereka bergabung dengan organisasi.
+ Anda ingin akun organisasi mewarisi pengaturan konfigurasi tertentu dari akun induk atau root.

Untuk informasi tentang konfigurasi pusat, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

# Memahami konfigurasi pusat di Security Hub CSPM
<a name="central-configuration-intro"></a>

Konfigurasi pusat adalah fitur CSPM AWS Security Hub yang membantu Anda mengatur dan mengelola CSPM Security Hub di beberapa dan. Akun AWS Wilayah AWS Untuk menggunakan konfigurasi pusat, Anda harus terlebih dahulu mengintegrasikan Security Hub CSPM dan. AWS Organizations Anda dapat mengintegrasikan layanan dengan membuat organisasi dan menunjuk akun administrator CSPM Security Hub yang didelegasikan untuk organisasi.

Dari akun administrator CSPM Security Hub yang didelegasikan, Anda dapat mengaktifkan CSPM Security Hub untuk akun organisasi dan unit organisasi () di seluruh Wilayah. OUs Anda juga dapat mengaktifkan, mengonfigurasi, dan menonaktifkan standar keamanan individual dan kontrol keamanan untuk akun dan OUs di seluruh Wilayah. Anda dapat mengonfigurasi pengaturan ini hanya dalam beberapa langkah dari satu Wilayah utama, yang disebut sebagai *Wilayah asal*.

Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat memilih akun mana dan OUs untuk mengkonfigurasi. Jika administrator yang didelegasikan menetapkan akun anggota atau OU sebagai *dikelola sendiri*, anggota dapat mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah. Jika administrator yang didelegasikan menetapkan akun anggota atau OU sebagai *dikelola secara terpusat*, hanya administrator yang didelegasikan yang dapat mengonfigurasi akun anggota atau OU di seluruh Wilayah. Anda dapat menetapkan semua akun dan OUs di organisasi Anda sebagai dikelola secara terpusat, semua dikelola sendiri, atau kombinasi keduanya.

Untuk mengonfigurasi akun yang dikelola secara terpusat, administrator yang didelegasikan menggunakan kebijakan konfigurasi CSPM Security Hub. Kebijakan konfigurasi memungkinkan administrator yang didelegasikan menentukan apakah CSPM Security Hub diaktifkan atau dinonaktifkan, dan standar serta kontrol mana yang diaktifkan atau dinonaktifkan. Mereka juga dapat digunakan untuk menyesuaikan parameter untuk kontrol tertentu.

Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah yang ditautkan. Administrator yang didelegasikan menentukan Wilayah asal organisasi dan Wilayah yang ditautkan sebelum mulai menggunakan konfigurasi pusat. Menentukan Wilayah terkait adalah opsional. Administrator yang didelegasikan dapat membuat kebijakan konfigurasi tunggal untuk seluruh organisasi, atau membuat beberapa kebijakan konfigurasi untuk mengonfigurasi setelan variabel untuk akun yang berbeda danOUs.

**Tip**  
Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengonfigurasi CSPM Security Hub secara terpisah di setiap akun dan Wilayah. Ini disebut *konfigurasi lokal*. Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan CSPM Security Hub dan serangkaian standar keamanan terbatas di akun organisasi baru di Wilayah saat ini. Konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau Wilayah selain Wilayah saat ini. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

Bagian ini memberikan gambaran umum tentang konfigurasi pusat.

## Manfaat menggunakan konfigurasi pusat
<a name="central-configuration-benefits"></a>

Manfaat konfigurasi pusat meliputi:

**Menyederhanakan konfigurasi layanan dan kemampuan CSPM Security Hub**  
Bila Anda menggunakan konfigurasi pusat, Security Hub CSPM memandu Anda melalui proses mengonfigurasi praktik terbaik keamanan untuk organisasi Anda. Ini juga menyebarkan kebijakan konfigurasi yang dihasilkan ke akun tertentu dan OUs secara otomatis. Jika Anda memiliki setelan CSPM Security Hub yang ada, seperti mengaktifkan kontrol keamanan baru secara otomatis, Anda dapat menggunakannya sebagai titik awal untuk kebijakan konfigurasi Anda. Selain itu, halaman **Konfigurasi** di konsol CSPM Security Hub menampilkan ringkasan real-time dari kebijakan konfigurasi Anda dan akun mana dan OUs menggunakan setiap kebijakan.

**Konfigurasikan di seluruh akun dan Wilayah**  
Anda dapat menggunakan konfigurasi pusat untuk mengonfigurasi CSPM Security Hub di beberapa akun dan Wilayah. Ini membantu memastikan bahwa setiap bagian dari organisasi Anda mempertahankan konfigurasi yang konsisten dan cakupan keamanan yang memadai.

**Mengakomodasi konfigurasi yang berbeda di akun yang berbeda dan OUs**  
Dengan konfigurasi pusat, Anda dapat memilih untuk mengonfigurasi akun organisasi Anda dan dengan OUs cara yang berbeda. Misalnya, akun pengujian dan akun produksi Anda mungkin memerlukan konfigurasi yang berbeda. Anda juga dapat membuat kebijakan konfigurasi yang mencakup akun baru saat mereka bergabung dengan organisasi.

**Mencegah penyimpangan konfigurasi**  
Penyimpangan konfigurasi terjadi ketika pengguna membuat perubahan pada layanan atau fitur yang bertentangan dengan pilihan administrator yang didelegasikan. Konfigurasi pusat mencegah penyimpangan ini. Saat Anda menetapkan akun atau OU sebagai dikelola secara terpusat, akun tersebut hanya dapat dikonfigurasi oleh administrator yang didelegasikan untuk organisasi. Jika Anda lebih suka akun tertentu atau OU untuk mengonfigurasi pengaturannya sendiri, Anda dapat menetapkannya sebagai dikelola sendiri.

## Kapan menggunakan konfigurasi pusat?
<a name="central-configuration-audience"></a>

Konfigurasi pusat paling bermanfaat untuk AWS lingkungan yang mencakup beberapa akun CSPM Security Hub. Ini dirancang untuk membantu Anda mengelola CSPM Security Hub secara terpusat untuk beberapa akun.

Anda dapat menggunakan konfigurasi pusat untuk mengonfigurasi layanan CSPM Security Hub, standar keamanan, dan kontrol keamanan. Anda juga dapat menggunakannya untuk menyesuaikan parameter kontrol tertentu. Untuk informasi selengkapnya tentang standar keamanan, lihat[Memahami standar keamanan di Security Hub CSPM](standards-view-manage.md). Untuk informasi selengkapnya tentang kontrol keamanan, lihat[Memahami kontrol keamanan di Security Hub CSPM](controls-view-manage.md).



## Istilah dan konsep konfigurasi pusat
<a name="central-configuration-concepts"></a>

Memahami istilah dan konsep utama berikut dapat membantu Anda menggunakan konfigurasi pusat CSPM Security Hub.

**Konfigurasi pusat**  
Fitur CSPM Security Hub yang membantu akun administrator CSPM Security Hub yang didelegasikan untuk organisasi mengonfigurasi layanan CSPM Security Hub, standar keamanan, dan kontrol keamanan di beberapa akun dan Wilayah. Untuk mengonfigurasi setelan ini, administrator yang didelegasikan membuat dan mengelola kebijakan konfigurasi CSPM Security Hub untuk akun yang dikelola secara terpusat di organisasinya. Akun yang dikelola sendiri dapat mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah. Untuk menggunakan konfigurasi pusat, Anda harus mengintegrasikan Security Hub CSPM dan. AWS Organizations

**Beranda Wilayah**  
 Wilayah AWS Dari mana administrator yang didelegasikan secara terpusat mengonfigurasi CSPM Security Hub, dengan membuat dan mengelola kebijakan konfigurasi. Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah yang ditautkan.  
Wilayah asal juga berfungsi sebagai Wilayah agregasi CSPM Security Hub, menerima temuan, wawasan, dan data lainnya dari Wilayah terkait.  
Wilayah yang AWS diperkenalkan pada atau setelah 20 Maret 2019 dikenal sebagai Wilayah keikutsertaan. Wilayah keikutsertaan tidak bisa menjadi Wilayah asal, tetapi bisa menjadi Wilayah terkait. *Untuk daftar Wilayah keikutsertaan, lihat [Pertimbangan sebelum mengaktifkan dan menonaktifkan Wilayah](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) di Panduan Referensi Manajemen Akun.AWS *

**Wilayah Tertaut**  
An Wilayah AWS yang dapat dikonfigurasi dari Wilayah asal. Kebijakan konfigurasi dibuat oleh administrator yang didelegasikan di Wilayah beranda. Kebijakan berlaku di Wilayah asal dan semua Wilayah terkait. Menentukan Wilayah terkait adalah opsional.  
Wilayah terkait juga mengirimkan temuan, wawasan, dan data lainnya ke Wilayah asal.  
Wilayah yang AWS diperkenalkan pada atau setelah 20 Maret 2019 dikenal sebagai Wilayah keikutsertaan. Anda harus mengaktifkan Wilayah tersebut untuk akun sebelum kebijakan konfigurasi dapat diterapkan padanya. Akun manajemen Organisasi dapat mengaktifkan Wilayah keikutsertaan untuk akun anggota. Untuk informasi selengkapnya, lihat [Menentukan Wilayah AWS akun mana yang dapat digunakan](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) dalam *Panduan Referensi Manajemen AWS Akun*.

**Target**  
Sebuah Akun AWS, unit organisasi (OU), atau akar organisasi.

**Kebijakan konfigurasi CSPM Security Hub**  
Kumpulan setelan CSPM Security Hub yang dapat dikonfigurasi oleh administrator yang didelegasikan untuk target yang dikelola secara terpusat. Hal ini mencakup:  
+ Apakah akan mengaktifkan atau menonaktifkan Security Hub CSPM.
+ Apakah akan mengaktifkan satu atau lebih [standar keamanan](standards-reference.md).
+ [Kontrol keamanan](securityhub-controls-reference.md) mana yang diaktifkan di seluruh standar yang diaktifkan. Administrator yang didelegasikan dapat melakukan ini dengan menyediakan daftar kontrol khusus yang harus diaktifkan, dan Security Hub CSPM menonaktifkan semua kontrol lainnya (termasuk kontrol baru saat dirilis). Atau, administrator yang didelegasikan dapat memberikan daftar kontrol khusus yang harus dinonaktifkan, dan Security Hub CSPM mengaktifkan semua kontrol lainnya (termasuk kontrol baru saat dirilis).
+ Secara opsional, [sesuaikan parameter](custom-control-parameters.md) untuk memilih kontrol yang diaktifkan di seluruh standar yang diaktifkan.
Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah tertaut setelah dikaitkan dengan setidaknya satu akun, unit organisasi (OU), atau root.  
Pada konsol CSPM Security Hub, administrator yang didelegasikan dapat memilih kebijakan konfigurasi yang direkomendasikan CSPM Security Hub atau membuat kebijakan konfigurasi khusus. Dengan Security Hub CSPM API dan AWS CLI, administrator yang didelegasikan hanya dapat membuat kebijakan konfigurasi kustom. Administrator yang didelegasikan dapat membuat maksimal 20 kebijakan konfigurasi kustom.  
Dalam kebijakan konfigurasi yang direkomendasikan, Security Hub CSPM, standar Praktik Terbaik Keamanan AWS Dasar (FSBP), dan semua kontrol FSBP yang ada dan yang baru diaktifkan. Kontrol yang menerima parameter menggunakan nilai default. Kebijakan konfigurasi yang disarankan berlaku untuk seluruh organisasi.  
Untuk menerapkan pengaturan berbeda ke organisasi, atau menerapkan kebijakan konfigurasi yang berbeda ke akun yang berbeda dan OUs, buat kebijakan konfigurasi khusus.

**Konfigurasi lokal**  
Jenis konfigurasi default untuk organisasi, setelah mengintegrasikan Security Hub CSPM dan. AWS Organizations Dengan konfigurasi lokal, administrator yang didelegasikan dapat memilih untuk mengaktifkan CSPM Security Hub secara otomatis dan [standar keamanan default](securityhub-auto-enabled-standards.md) di akun organisasi *baru* di Wilayah saat ini. Jika administrator yang didelegasikan secara otomatis mengaktifkan standar default, semua kontrol yang merupakan bagian dari standar ini juga diaktifkan secara otomatis dengan parameter default untuk akun organisasi baru. Pengaturan ini tidak berlaku untuk akun yang ada, jadi penyimpangan konfigurasi dimungkinkan setelah akun bergabung dengan organisasi. Menonaktifkan kontrol spesifik yang merupakan bagian dari standar default, dan mengonfigurasi standar dan kontrol tambahan, harus dilakukan secara terpisah di setiap akun dan Wilayah.  
Konfigurasi lokal tidak mendukung penggunaan kebijakan konfigurasi. Untuk menggunakan kebijakan konfigurasi, Anda harus beralih ke konfigurasi pusat.

**Manajemen akun manual**  
Jika Anda tidak mengintegrasikan CSPM Security Hub dengan AWS Organizations atau memiliki akun mandiri, Anda harus menentukan pengaturan untuk setiap akun secara terpisah di setiap Wilayah. Manajemen akun manual tidak mendukung penggunaan kebijakan konfigurasi.

**Konfigurasi pusat APIs**  
Operasi CSPM Security Hub yang hanya administrator CSPM Security Hub yang didelegasikan CSPM Security Hub yang dapat digunakan di Wilayah asal untuk mengelola kebijakan konfigurasi untuk akun yang dikelola secara terpusat. Operasi meliputi:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Khusus akun APIs**  
Operasi CSPM Security Hub yang dapat digunakan untuk mengaktifkan atau menonaktifkan Security Hub CSPM, standar, dan kontrol atas dasar. account-by-account Operasi ini digunakan di masing-masing Wilayah.  
Akun yang dikelola sendiri dapat menggunakan operasi khusus akun untuk mengonfigurasi pengaturan mereka sendiri. Akun yang dikelola secara terpusat tidak dapat menggunakan operasi khusus akun berikut di Wilayah asal dan Wilayah yang ditautkan. Di Wilayah tersebut, hanya administrator yang didelegasikan yang dapat mengonfigurasi akun yang dikelola secara terpusat melalui operasi konfigurasi pusat dan kebijakan konfigurasi.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Untuk memeriksa status akun, pemilik akun yang dikelola secara terpusat *dapat* menggunakan salah satu `Get` atau `Describe` operasi Security Hub CSPM API.  
Jika Anda menggunakan konfigurasi lokal atau manajemen akun manual, alih-alih konfigurasi pusat, operasi khusus akun ini dapat digunakan.  
Akun yang dikelola sendiri juga dapat digunakan `*Invitations` dan `*Members` dioperasikan. Namun, kami menyarankan agar akun yang dikelola sendiri tidak menggunakan operasi ini. Asosiasi kebijakan dapat gagal jika akun anggota memiliki anggotanya sendiri yang merupakan bagian dari organisasi yang berbeda dari administrator yang didelegasikan.

**Unit organisasi (OU)**  
Di AWS Organizations dan Security Hub CSPM, wadah untuk sekelompok. Akun AWS Unit organisasi (OU) juga dapat berisi yang lain OUs, memungkinkan Anda untuk membuat hierarki yang menyerupai pohon terbalik, dengan OU induk di bagian atas dan cabang-cabang OUs yang menjangkau ke bawah, berakhir dengan akun yang merupakan daun pohon. OU dapat memiliki tepat satu orang tua, dan setiap akun organisasi dapat menjadi anggota dari satu OU.  
Anda dapat mengelola OUs di AWS Organizations atau AWS Control Tower. Untuk informasi selengkapnya, lihat [Mengelola unit organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) dalam *Panduan AWS Organizations Pengguna* atau [Mengatur organisasi dan akun AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) di *Panduan AWS Control Tower Pengguna*.  
Administrator yang didelegasikan dapat mengaitkan kebijakan konfigurasi dengan akun tertentu atau OUs, atau dengan root untuk mencakup semua akun dan OUs dalam organisasi.

**Dikelola secara terpusat**  
Target yang hanya dapat dikonfigurasi oleh administrator yang didelegasikan di seluruh Wilayah dengan menggunakan kebijakan konfigurasi.  
Akun administrator yang didelegasikan menentukan apakah target dikelola secara terpusat. Administrator yang didelegasikan juga dapat mengubah status target dari yang dikelola secara terpusat menjadi dikelola sendiri, atau sebaliknya.

**Dikelola sendiri**  
Target yang mengelola pengaturan CSPM Security Hub sendiri. Target yang dikelola sendiri menggunakan operasi khusus akun untuk mengonfigurasi CSPM Security Hub untuk dirinya sendiri secara terpisah di setiap Wilayah. Ini berbeda dengan target yang dikelola secara terpusat, yang hanya dapat dikonfigurasi oleh administrator yang didelegasikan di seluruh Wilayah melalui kebijakan konfigurasi.  
Akun administrator yang didelegasikan menentukan apakah target dikelola sendiri. Administrator yang didelegasikan dapat menerapkan perilaku yang dikelola sendiri ke target. Atau, akun atau OU dapat mewarisi perilaku yang dikelola sendiri dari orang tua.  
Akun administrator yang didelegasikan itu sendiri dapat menjadi akun yang dikelola sendiri. Akun administrator yang didelegasikan dapat mengubah status target dari dikelola sendiri menjadi dikelola secara terpusat, atau sebaliknya.  


**Asosiasi kebijakan konfigurasi**  
Tautan antara kebijakan konfigurasi dan akun, unit organisasi (OU), atau root. Ketika asosiasi kebijakan ada, akun, OU, atau root menggunakan pengaturan yang ditentukan oleh kebijakan konfigurasi. Asosiasi ada dalam salah satu dari kasus ini:  
+ Ketika administrator yang didelegasikan secara langsung menerapkan kebijakan konfigurasi ke akun, OU, atau root
+ Ketika akun atau OU mewarisi kebijakan konfigurasi dari OU induk atau root
Asosiasi ada sampai konfigurasi yang berbeda diterapkan atau diwariskan.

**Kebijakan konfigurasi yang diterapkan**  
Jenis asosiasi kebijakan konfigurasi di mana administrator yang didelegasikan secara langsung menerapkan kebijakan konfigurasi ke akun target OUs, atau root. Target dikonfigurasi dengan cara yang ditentukan oleh kebijakan konfigurasi, dan hanya administrator yang didelegasikan yang dapat mengubah konfigurasinya. Jika diterapkan ke root, kebijakan konfigurasi memengaruhi semua akun dan OUs di organisasi yang tidak menggunakan konfigurasi berbeda melalui aplikasi atau warisan dari induk terdekat.  
Administrator yang didelegasikan juga dapat menerapkan konfigurasi yang dikelola sendiri ke akun tertentu, OUs, atau root.

**Kebijakan konfigurasi yang diwariskan**  
Jenis asosiasi kebijakan konfigurasi di mana akun atau OU mengadopsi konfigurasi OU induk terdekat atau root. Jika kebijakan konfigurasi tidak langsung diterapkan ke akun atau OU, kebijakan tersebut mewarisi konfigurasi induk terdekat. Semua elemen kebijakan diwariskan. Dengan kata lain, akun atau OU tidak dapat memilih untuk secara selektif mewarisi hanya bagian dari kebijakan. Jika orang tua terdekat dikelola sendiri, akun anak atau OU mewarisi perilaku yang dikelola sendiri dari orang tua.   
Warisan tidak dapat mengganti konfigurasi yang diterapkan. Artinya, jika kebijakan konfigurasi atau konfigurasi yang dikelola sendiri langsung diterapkan ke akun atau OU, ia menggunakan konfigurasi itu dan tidak mewarisi konfigurasi induk.

**Akar**  
Dalam AWS Organizations dan Security Hub CSPM, node induk tingkat atas dalam suatu organisasi. Jika administrator yang didelegasikan menerapkan kebijakan konfigurasi ke root, kebijakan tersebut dikaitkan dengan semua akun dan OUs di organisasi kecuali mereka menggunakan kebijakan yang berbeda, melalui aplikasi atau warisan, atau ditetapkan sebagai dikelola sendiri. Jika administrator menetapkan root sebagai dikelola sendiri, semua akun dan OUs dalam organisasi dikelola sendiri kecuali mereka menggunakan kebijakan konfigurasi melalui aplikasi atau warisan. Jika root dikelola sendiri dan tidak ada kebijakan konfigurasi saat ini, semua akun baru di organisasi akan mempertahankan pengaturannya saat ini.  
Akun baru yang bergabung dengan organisasi berada di bawah root sampai mereka ditugaskan ke OU tertentu. Jika akun baru tidak ditetapkan ke OU, akun tersebut mewarisi konfigurasi root kecuali administrator yang didelegasikan menetapkannya sebagai akun yang dikelola sendiri.

# Mengaktifkan konfigurasi pusat di Security Hub CSPM
<a name="start-central-configuration"></a>

Akun administrator CSPM AWS Security Hub yang didelegasikan dapat menggunakan konfigurasi pusat untuk mengonfigurasi CSPM, standar, dan kontrol Security Hub untuk beberapa akun dan unit organisasi () secara keseluruhan. OUs Wilayah AWS

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini menjelaskan prasyarat untuk konfigurasi pusat dan cara mulai menggunakannya.

## Prasyarat untuk konfigurasi pusat
<a name="prerequisites-central-configuration"></a>

Sebelum Anda dapat mulai menggunakan konfigurasi pusat, Anda harus mengintegrasikan Security Hub CSPM dengan AWS Organizations dan menunjuk Wilayah rumah. Jika Anda menggunakan konsol CSPM Security Hub, prasyarat ini disertakan dalam alur kerja opt-in untuk konfigurasi pusat.

### Integrasi dengan Organizations
<a name="orgs-integration-prereq"></a>

Anda harus mengintegrasikan Security Hub CSPM dan Organizations untuk menggunakan konfigurasi pusat.

Untuk mengintegrasikan layanan ini, Anda mulai dengan membuat organisasi di Organizations. Dari akun manajemen Organizations, Anda kemudian menunjuk akun administrator yang didelegasikan CSPM Security Hub. Untuk petunjuk, lihat [Mengintegrasikan CSPM Security Hub dengan AWS Organizations](designate-orgs-admin-account.md).

Pastikan bahwa Anda menunjuk administrator yang didelegasikan di Wilayah **rumah yang dituju**. Ketika Anda mulai menggunakan konfigurasi pusat, administrator yang didelegasikan yang sama secara otomatis diatur di semua Wilayah tertaut juga. Akun manajemen Organisasi *tidak dapat* ditetapkan sebagai akun administrator yang didelegasikan.

**penting**  
Bila menggunakan konfigurasi pusat, Anda tidak dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM APIs untuk mengubah atau menghapus akun administrator yang didelegasikan. Jika akun manajemen Organizations digunakan AWS Organizations APIs untuk mengubah atau menghapus administrator delegasi CSPM Security Hub, CSPM Security Hub secara otomatis menghentikan konfigurasi pusat. Kebijakan konfigurasi Anda juga dipisahkan dan dihapus. Akun anggota mempertahankan konfigurasi yang mereka miliki sebelum administrator yang didelegasikan diubah atau dihapus.

### Tentukan Wilayah rumah
<a name="home-region-prereq"></a>

Anda harus menunjuk Wilayah rumah untuk menggunakan konfigurasi pusat. Wilayah asal adalah Wilayah tempat administrator yang didelegasikan mengkonfigurasi organisasi.

**catatan**  
Wilayah asal tidak dapat menjadi Wilayah yang AWS telah ditetapkan sebagai Wilayah keikutsertaan. Wilayah keikutsertaan dinonaktifkan secara default. *Untuk daftar Wilayah keikutsertaan, lihat [Pertimbangan sebelum mengaktifkan dan menonaktifkan Wilayah](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) di Panduan Referensi Manajemen Akun.AWS *

Secara opsional, Anda dapat menentukan satu atau beberapa Wilayah tertaut yang dapat dikonfigurasi dari Wilayah beranda.

Administrator yang didelegasikan dapat membuat dan mengelola kebijakan konfigurasi hanya dari Wilayah beranda. Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah yang ditautkan. Anda tidak dapat membuat kebijakan konfigurasi yang hanya berlaku untuk subset Wilayah ini, dan bukan yang lain. Pengecualian untuk ini adalah kontrol yang melibatkan sumber daya global. Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Untuk informasi selengkapnya, lihat [Kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources).

Wilayah asal juga merupakan Wilayah agregasi CSPM Security Hub Anda yang menerima temuan, wawasan, dan data lainnya dari Wilayah tertaut.

Jika Anda telah menetapkan Region agregasi untuk agregasi Cross-region, maka itu adalah Region home default Anda untuk konfigurasi pusat. Anda dapat mengubah Wilayah rumah sebelum mulai menggunakan konfigurasi pusat dengan menghapus agregator temuan Anda saat ini dan membuat yang baru di Wilayah rumah yang Anda inginkan. Agregator temuan adalah sumber daya CSPM Security Hub yang menentukan Wilayah asal dan Wilayah terkait.

Untuk menunjuk Wilayah asal, lihat [langkah-langkah untuk menyetel Wilayah agregasi](finding-aggregation-enable.md). Jika Anda sudah memiliki Wilayah beranda, Anda dapat memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)API untuk melihat detailnya, termasuk Wilayah mana yang saat ini ditautkan dengannya.

## Petunjuk untuk mengaktifkan konfigurasi pusat
<a name="central-configuration-get-started"></a>

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan konfigurasi pusat untuk organisasi Anda.

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan konfigurasi pusat (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, pilih **Pengaturan** dan **Konfigurasi**. Kemudian, pilih **Mulai konfigurasi pusat**.

   Jika Anda melakukan onboarding ke Security Hub CSPM, pilih **Buka CSPM Security Hub**.

1. Pada halaman **Administrator yang didelegasikan, pilih akun administrator** yang didelegasikan atau masukkan ID akunnya. Jika berlaku, sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya. Pilih **Setel administrator yang didelegasikan**.

1. Pada halaman **Sentralisasi organisasi**, di bagian **Wilayah**, pilih Wilayah rumah Anda. Anda harus masuk ke Wilayah asal untuk melanjutkan. Jika Anda telah menetapkan Region agregasi untuk agregasi Lintas wilayah, itu akan ditampilkan sebagai Wilayah beranda. Untuk mengubah wilayah beranda, pilih **Edit pengaturan Wilayah**. Anda kemudian dapat memilih Wilayah rumah pilihan Anda dan kembali ke alur kerja ini.

1. Pilih setidaknya satu Wilayah untuk ditautkan ke Wilayah asal. Secara opsional, pilih apakah Anda ingin secara otomatis menautkan Wilayah yang didukung future ke Wilayah asal. Wilayah yang Anda pilih di sini akan dapat dikonfigurasi dari Wilayah asal oleh administrator yang didelegasikan. Kebijakan konfigurasi berlaku di Wilayah asal Anda dan semua Wilayah yang ditautkan.

1. Pilih **Konfirmasi dan lanjutkan**.

1.  Anda sekarang dapat menggunakan konfigurasi pusat. Lanjutkan mengikuti petunjuk konsol untuk membuat kebijakan konfigurasi pertama Anda. Jika Anda belum siap untuk membuat kebijakan konfigurasi, pilih **Saya belum siap untuk mengonfigurasi**. Anda dapat membuat kebijakan nanti dengan memilih **Pengaturan** dan **Konfigurasi** di panel navigasi. Untuk petunjuk cara membuat kebijakan konfigurasi, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Untuk mengaktifkan konfigurasi pusat (API)**

1. Menggunakan kredensional akun administrator yang didelegasikan, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API dari Wilayah beranda.

1. Atur `AutoEnable` bidang ke`false`.

1. Atur `ConfigurationType` bidang di `OrganizationConfiguration` objek ke`CENTRAL`. Tindakan ini memiliki dampak sebagai berikut:
   + Menetapkan akun panggilan sebagai administrator yang didelegasikan CSPM Security Hub di semua Wilayah yang ditautkan.
   + Mengaktifkan CSPM Security Hub di akun administrator yang didelegasikan di semua Wilayah yang ditautkan.
   + Menetapkan akun panggilan sebagai administrator yang didelegasikan CSPM Security Hub untuk akun baru dan yang sudah ada yang menggunakan Security Hub CSPM dan milik organisasi. Ini terjadi di Wilayah asal dan semua Wilayah yang terkait. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi baru hanya jika akun tersebut dikaitkan dengan kebijakan konfigurasi yang mengaktifkan CSPM Security Hub. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi yang ada hanya jika akun tersebut sudah mengaktifkan CSPM Security Hub.
   + Setel [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)ke `false` semua Wilayah tertaut, dan disetel [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)ke `NONE` Wilayah asal dan semua Wilayah yang ditautkan. Parameter ini tidak relevan di wilayah beranda dan terkait saat Anda menggunakan konfigurasi pusat, tetapi Anda dapat secara otomatis mengaktifkan CSPM Security Hub dan standar keamanan default di akun organisasi melalui penggunaan kebijakan konfigurasi.

1. Anda sekarang dapat menggunakan konfigurasi pusat. Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengonfigurasi CSPM Security Hub di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**Contoh permintaan API:**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Untuk mengaktifkan konfigurasi pusat (AWS CLI)**

1. Menggunakan kredensi akun administrator yang didelegasikan, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)perintah dari wilayah rumah.

1. Sertakan `no-auto-enable` parameternya.

1. Atur `ConfigurationType` bidang di `organization-configuration` objek ke`CENTRAL`. Tindakan ini memiliki dampak sebagai berikut:
   + Menetapkan akun panggilan sebagai administrator yang didelegasikan CSPM Security Hub di semua Wilayah yang ditautkan.
   + Mengaktifkan CSPM Security Hub di akun administrator yang didelegasikan di semua Wilayah yang ditautkan.
   + Menetapkan akun panggilan sebagai administrator yang didelegasikan CSPM Security Hub untuk akun baru dan yang sudah ada yang menggunakan Security Hub CSPM dan milik organisasi. Ini terjadi di Wilayah asal dan semua Wilayah yang terkait. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi baru hanya jika akun tersebut dikaitkan dengan kebijakan konfigurasi yang mengaktifkan Security Hub. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi yang ada hanya jika akun tersebut sudah mengaktifkan CSPM Security Hub.
   + Menetapkan opsi pengaktifan otomatis ke [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)semua Wilayah yang ditautkan, dan disetel [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)ke Wilayah `NONE` beranda dan semua Wilayah yang ditautkan. Parameter ini tidak relevan di wilayah beranda dan terkait saat Anda menggunakan konfigurasi pusat, tetapi Anda dapat secara otomatis mengaktifkan CSPM Security Hub dan standar keamanan default di akun organisasi melalui penggunaan kebijakan konfigurasi.

1. Anda sekarang dapat menggunakan konfigurasi pusat. Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengonfigurasi CSPM Security Hub di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**Contoh perintah:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Target yang dikelola secara terpusat versus yang dikelola sendiri
<a name="central-configuration-management-type"></a>

*Saat Anda mengaktifkan konfigurasi pusat, administrator CSPM AWS Security Hub yang didelegasikan dapat menetapkan setiap akun organisasi, unit organisasi (OU), dan root sebagai dikelola secara *terpusat* atau dikelola sendiri.* Jenis manajemen target menentukan bagaimana Anda dapat menentukan pengaturan CSPM Security Hub.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini menjelaskan perbedaan antara penunjukan yang dikelola secara terpusat dan dikelola sendiri dan bagaimana memilih jenis manajemen akun, OU, atau root.

**Dikelola sendiri**  
Pemilik akun yang dikelola sendiri, OU, atau root harus mengonfigurasi pengaturannya secara terpisah di masing-masing Wilayah AWS akun. Administrator yang didelegasikan tidak dapat membuat kebijakan konfigurasi untuk target yang dikelola sendiri.

**Dikelola secara terpusat**  
Hanya administrator CSPM Security Hub yang didelegasikan yang dapat mengonfigurasi pengaturan untuk akun yang dikelola secara terpusat OUs, atau root di seluruh Wilayah beranda dan Wilayah yang ditautkan. Kebijakan konfigurasi dapat dikaitkan dengan akun yang dikelola secara terpusat dan OUs.

Administrator yang didelegasikan dapat mengubah status target antara dikelola sendiri dan dikelola secara terpusat. Secara default, semua akun dan OU dikelola sendiri saat Anda memulai konfigurasi pusat melalui Security Hub CSPM API. Di konsol, jenis manajemen bergantung pada kebijakan konfigurasi pertama Anda. Akun dan OUs yang Anda kaitkan dengan kebijakan pertama Anda dikelola secara terpusat. Akun lain dan OUs dikelola sendiri secara default.

Jika Anda mengaitkan kebijakan konfigurasi dengan akun yang dikelola sendiri sebelumnya, setelan kebijakan akan mengganti penunjukan yang dikelola sendiri. Akun menjadi dikelola secara terpusat dan mengadopsi pengaturan yang tercermin dalam kebijakan konfigurasi.

Jika Anda mengubah akun yang dikelola secara terpusat menjadi akun yang dikelola sendiri, pengaturan yang sebelumnya diterapkan ke akun melalui kebijakan konfigurasi tetap berlaku. Misalnya, akun yang dikelola secara terpusat pada awalnya dapat dikaitkan dengan kebijakan yang mengaktifkan CSPM Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar, dan dinonaktifkan .1. CloudTrail Jika Anda kemudian menetapkan akun sebagai dikelola sendiri, semua pengaturan tetap tidak berubah. Namun, pemilik akun dapat secara mandiri mengubah pengaturan untuk akun ke depan.

Akun anak dan OUs dapat mewarisi perilaku yang dikelola sendiri dari induk yang dikelola sendiri, dengan cara yang sama seperti akun anak dan OUs dapat mewarisi kebijakan konfigurasi dari induk yang dikelola secara terpusat. Untuk informasi selengkapnya, lihat [Asosiasi kebijakan melalui aplikasi dan warisan](configuration-policies-overview.md#policy-association).

Akun yang dikelola sendiri atau OU tidak dapat mewarisi kebijakan konfigurasi dari node induk atau dari root. Misalnya, jika Anda ingin semua akun dan OUs organisasi Anda mewarisi kebijakan konfigurasi dari root, Anda harus mengubah jenis manajemen node yang dikelola sendiri menjadi dikelola secara terpusat.

## Opsi untuk mengonfigurasi pengaturan di akun yang dikelola sendiri
<a name="self-managed-settings"></a>

Akun yang dikelola sendiri harus mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah.

Pemilik akun yang dikelola sendiri dapat menjalankan operasi API CSPM Security Hub berikut di setiap Wilayah untuk mengonfigurasi pengaturan mereka:
+ `EnableSecurityHub`dan `DisableSecurityHub` untuk mengaktifkan atau menonaktifkan layanan CSPM Security Hub (jika akun yang dikelola sendiri memiliki administrator CSPM Security Hub yang didelegasikan, administrator [harus memisahkan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) akun sebelum pemilik akun dapat menonaktifkan CSPM Security Hub).
+ `BatchEnableStandards`dan `BatchDisableStandards` untuk mengaktifkan atau menonaktifkan standar
+ `BatchUpdateStandardsControlAssociations`atau `UpdateStandardsControl` untuk mengaktifkan atau menonaktifkan kontrol

Akun yang dikelola sendiri juga dapat digunakan `*Invitations` dan `*Members` dioperasikan. Namun, kami menyarankan agar akun yang dikelola sendiri tidak menggunakan operasi ini. Asosiasi kebijakan dapat gagal jika akun anggota memiliki anggotanya sendiri yang merupakan bagian dari organisasi yang berbeda dari administrator yang didelegasikan.

Untuk deskripsi tindakan API CSPM Security Hub, lihat Referensi API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Akun yang dikelola sendiri juga dapat menggunakan konsol CSPM Security Hub atau AWS CLI untuk mengonfigurasi pengaturannya di setiap Wilayah.

Akun yang dikelola sendiri tidak dapat memanggil kebijakan konfigurasi dan APIs asosiasi kebijakan CSPM Security Hub. Hanya administrator yang didelegasikan yang dapat memanggil konfigurasi pusat APIs dan menggunakan kebijakan konfigurasi untuk mengonfigurasi akun yang dikelola secara terpusat.

## Memilih jenis manajemen target
<a name="choose-management-type"></a>

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menetapkan akun atau OU sebagai dikelola secara terpusat atau dikelola sendiri di AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Untuk memilih jenis manajemen akun atau OU**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Pilih **Konfigurasi**.

1. Pada tab **Organisasi**, pilih akun target atau OU. Pilih **Edit**.

1. Pada halaman **Tentukan konfigurasi**, untuk **tipe Manajemen**, pilih **Dikelola secara terpusat** jika Anda ingin administrator yang didelegasikan mengonfigurasi akun target atau OU. Kemudian, pilih **Terapkan kebijakan tertentu** jika Anda ingin mengaitkan kebijakan konfigurasi yang ada dengan target. Pilih **Mewarisi dari organisasi saya** jika Anda ingin target mewarisi konfigurasi induk terdekatnya. Pilih **Self-managed** jika Anda ingin akun atau OU untuk mengkonfigurasi pengaturan sendiri.

1. Pilih **Berikutnya**. Tinjau perubahan Anda, dan pilih **Simpan**.

------
#### [ Security Hub CSPM API ]

**Untuk memilih jenis manajemen akun atau OU**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

1. Untuk `ConfigurationPolicyIdentifier` bidang, berikan `SELF_MANAGED_SECURITY_HUB` jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan mengontrol pengaturan untuk akun atau OU.

1. Untuk `Target` bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

**Contoh permintaan API untuk menunjuk akun yang dikelola sendiri:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Untuk memilih jenis manajemen akun atau OU**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

1. Untuk `configuration-policy-identifier` bidang, berikan `SELF_MANAGED_SECURITY_HUB` jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan untuk mengontrol pengaturan untuk akun atau OU..

1. Untuk `target` bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

**Contoh perintah untuk menunjuk akun yang dikelola sendiri:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Cara kerja kebijakan konfigurasi di Security Hub CSPM
<a name="configuration-policies-overview"></a>

Administrator CSPM AWS Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengonfigurasi CSPM Security Hub, standar keamanan, dan kontrol keamanan untuk organisasi. Setelah membuat kebijakan konfigurasi, administrator yang didelegasikan dapat mengaitkannya dengan akun tertentu, unit organisasi (OUs), atau root. Kebijakan tersebut kemudian berlaku di akun yang ditentukan, OUs, atau root.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini memberikan gambaran rinci tentang kebijakan konfigurasi.

## Pertimbangan kebijakan
<a name="configuration-policies-considerations"></a>

Sebelum Anda membuat kebijakan konfigurasi di Security Hub CSPM, pertimbangkan detail berikut.
+ **Kebijakan konfigurasi harus dikaitkan agar berlaku** — Setelah membuat kebijakan konfigurasi, Anda dapat mengaitkannya dengan satu atau beberapa akun, unit organisasi (OUs), atau root. Kebijakan konfigurasi dapat dikaitkan dengan akun atau OUs melalui aplikasi langsung, atau melalui warisan dari OU induk.
+ **Akun atau OU hanya dapat dikaitkan dengan satu kebijakan konfigurasi** — Untuk mencegah pengaturan yang bertentangan, akun atau OU hanya dapat dikaitkan dengan satu kebijakan konfigurasi pada waktu tertentu. Atau, akun atau OU dapat dikelola sendiri.
+ **Kebijakan konfigurasi selesai** — Kebijakan konfigurasi menyediakan spesifikasi pengaturan yang lengkap. Misalnya, akun anak tidak dapat menerima pengaturan untuk beberapa kontrol dari satu kebijakan dan pengaturan untuk kontrol lain dari kebijakan lain. Saat Anda mengaitkan kebijakan dengan akun anak, pastikan kebijakan tersebut menentukan semua setelan yang ingin digunakan oleh akun anak tersebut.
+ **Kebijakan konfigurasi tidak dapat dikembalikan** — Tidak ada opsi untuk mengembalikan kebijakan konfigurasi setelah Anda mengaitkannya dengan akun atau. OUs Misalnya, jika Anda mengaitkan kebijakan konfigurasi yang menonaktifkan CloudWatch kontrol dengan akun tertentu, lalu memisahkan kebijakan tersebut, CloudWatch kontrol akan terus dinonaktifkan di akun tersebut. Untuk mengaktifkan CloudWatch kontrol lagi, Anda dapat mengaitkan akun dengan kebijakan baru yang memungkinkan kontrol. Atau, Anda dapat mengubah akun menjadi dikelola sendiri dan mengaktifkan setiap CloudWatch kontrol di akun.
+ **Kebijakan konfigurasi berlaku di Wilayah asal Anda dan semua Wilayah tertaut** — Kebijakan konfigurasi memengaruhi semua akun terkait di Wilayah asal dan semua Wilayah yang ditautkan. Anda tidak dapat membuat kebijakan konfigurasi yang berlaku hanya di beberapa Wilayah ini dan bukan yang lain. Pengecualian untuk ini adalah [kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources). Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal.

  Wilayah yang AWS diperkenalkan pada atau setelah 20 Maret 2019 dikenal sebagai Wilayah keikutsertaan. Anda harus mengaktifkan Wilayah tersebut untuk akun sebelum kebijakan konfigurasi berlaku di sana. Akun manajemen Organisasi dapat mengaktifkan Wilayah keikutsertaan untuk akun anggota. Untuk petunjuk tentang mengaktifkan Wilayah keikutsertaan, lihat [Menentukan Wilayah AWS akun mana yang dapat digunakan dalam Panduan](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) *Referensi Manajemen AWS Akun*.

  Jika kebijakan Anda mengonfigurasi kontrol yang tidak tersedia di Wilayah beranda atau satu atau beberapa Wilayah tertaut, CSPM Security Hub akan melewatkan konfigurasi kontrol di Wilayah yang tidak tersedia tetapi menerapkan konfigurasi di Wilayah tempat kontrol tersedia. Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.
+ **Kebijakan konfigurasi adalah sumber daya** — Sebagai sumber daya, kebijakan konfigurasi memiliki Nama Sumber Daya Amazon (ARN) dan pengenal unik universal (UUID). ARN menggunakan format berikut:. `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID` Konfigurasi yang dikelola sendiri tidak memiliki ARN atau UUID. Pengidentifikasi untuk konfigurasi yang dikelola sendiri adalah. `SELF_MANAGED_SECURITY_HUB`

## Jenis kebijakan konfigurasi
<a name="policy-types"></a>

Setiap kebijakan konfigurasi menentukan setelan berikut:
+ Mengaktifkan atau menonaktifkan Security Hub CSPM.
+ Aktifkan satu atau lebih [standar keamanan](standards-reference.md).
+ Tunjukkan [kontrol keamanan](securityhub-controls-reference.md) mana yang diaktifkan di seluruh standar yang diaktifkan. Anda dapat melakukannya dengan menyediakan daftar kontrol khusus yang harus diaktifkan, dan Security Hub CSPM menonaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis. Atau, Anda dapat memberikan daftar kontrol khusus yang harus dinonaktifkan, dan Security Hub CSPM mengaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis.
+ Secara opsional, [sesuaikan parameter](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) untuk memilih kontrol yang diaktifkan di seluruh standar yang diaktifkan.

Kebijakan konfigurasi pusat tidak menyertakan pengaturan AWS Config perekam. Anda harus mengaktifkan AWS Config dan mengaktifkan perekaman secara terpisah untuk sumber daya yang diperlukan agar CSPM Security Hub menghasilkan temuan kontrol. Untuk informasi selengkapnya, lihat [Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.

Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.

Untuk daftar kontrol yang melibatkan sumber daya global, lihat[Kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources).

### Kebijakan konfigurasi yang disarankan
<a name="recommended-policy"></a>

Saat membuat kebijakan konfigurasi untuk *pertama kalinya di konsol CSPM Security Hub*, Anda memiliki opsi untuk memilih kebijakan yang direkomendasikan CSPM Security Hub.

Kebijakan yang direkomendasikan memungkinkan Security Hub CSPM, standar AWS Foundational Security Best Practices (FSBP), dan semua kontrol FSBP yang ada dan yang baru. Kontrol yang menerima parameter menggunakan nilai default. Kebijakan yang disarankan berlaku untuk root (semua akun dan OUs, baik yang baru maupun yang sudah ada). Setelah membuat kebijakan yang disarankan untuk organisasi, Anda dapat memodifikasinya dari akun administrator yang didelegasikan. Misalnya, Anda dapat mengaktifkan standar atau kontrol tambahan atau menonaktifkan kontrol FSBP tertentu. Untuk petunjuk tentang memodifikasi kebijakan konfigurasi, lihat[Memperbarui kebijakan konfigurasi](update-policy.md).

### Kebijakan konfigurasi kustom
<a name="custom-policy"></a>

Alih-alih kebijakan yang disarankan, administrator yang didelegasikan dapat membuat hingga 20 kebijakan konfigurasi kustom. Anda dapat mengaitkan satu kebijakan kustom dengan seluruh organisasi Anda atau kebijakan kustom yang berbeda dengan akun yang berbeda dan OUs. Untuk kebijakan konfigurasi kustom, Anda menentukan pengaturan yang Anda inginkan. Misalnya, Anda dapat membuat kebijakan khusus yang memungkinkan FSBP, Tolok Ukur AWS Yayasan Center for Internet Security (CIS) v1.4.0, dan semua kontrol dalam standar tersebut kecuali kontrol Amazon Redshift. Tingkat perincian yang Anda gunakan dalam kebijakan konfigurasi khusus bergantung pada cakupan cakupan keamanan yang dimaksudkan di seluruh organisasi Anda.

**catatan**  
Anda tidak dapat mengaitkan kebijakan konfigurasi yang menonaktifkan CSPM Security Hub dengan akun administrator yang didelegasikan. Kebijakan semacam itu dapat dikaitkan dengan akun lain tetapi melewatkan asosiasi dengan administrator yang didelegasikan. Akun administrator yang didelegasikan mempertahankan konfigurasi saat ini.

Setelah membuat kebijakan konfigurasi kustom, Anda dapat beralih ke kebijakan konfigurasi yang disarankan dengan memperbarui kebijakan konfigurasi untuk mencerminkan konfigurasi yang disarankan. Namun, Anda tidak melihat pilihan untuk membuat kebijakan konfigurasi yang disarankan di konsol CSPM Security Hub setelah kebijakan pertama Anda dibuat.

## Asosiasi kebijakan melalui aplikasi dan warisan
<a name="policy-association"></a>

Saat Anda pertama kali ikut serta dalam konfigurasi pusat, organisasi Anda tidak memiliki asosiasi dan berperilaku dengan cara yang sama seperti sebelum ikut serta. Administrator yang didelegasikan kemudian dapat membuat asosiasi antara kebijakan konfigurasi atau perilaku dan akun yang dikelola sendiri OUs, atau root. Asosiasi dapat dibentuk melalui *aplikasi* atau *warisan*.

Dari akun administrator yang didelegasikan, Anda dapat langsung menerapkan kebijakan konfigurasi ke akun, OU, atau root. Atau, administrator yang didelegasikan dapat langsung menerapkan penunjukan yang dikelola sendiri ke akun, OU, atau root.

Dengan tidak adanya aplikasi langsung, akun atau OU mewarisi pengaturan induk terdekat yang memiliki kebijakan konfigurasi atau perilaku yang dikelola sendiri. Jika induk terdekat dikaitkan dengan kebijakan konfigurasi, anak mewarisi kebijakan tersebut dan hanya dapat dikonfigurasi oleh administrator yang didelegasikan dari Wilayah beranda. Jika orang tua terdekat dikelola sendiri, anak mewarisi perilaku yang dikelola sendiri dan memiliki kemampuan untuk menentukan pengaturannya sendiri di masing-masing. Wilayah AWS

Aplikasi lebih diutamakan daripada warisan. Dengan kata lain, pewarisan tidak mengesampingkan kebijakan konfigurasi atau penunjukan yang dikelola sendiri yang telah diterapkan langsung oleh administrator yang didelegasikan ke akun atau OU.

Jika Anda langsung menerapkan kebijakan konfigurasi ke akun yang dikelola sendiri, kebijakan akan mengganti penunjukan yang dikelola sendiri. Akun menjadi dikelola secara terpusat dan mengadopsi pengaturan yang tercermin dalam kebijakan konfigurasi.

Kami merekomendasikan langsung menerapkan kebijakan konfigurasi ke root. Jika Anda menerapkan kebijakan ke root, maka akun baru yang bergabung dengan organisasi Anda akan secara otomatis mewarisi kebijakan root kecuali Anda mengaitkannya dengan kebijakan yang berbeda atau menunjuknya sebagai dikelola sendiri.

Hanya satu kebijakan konfigurasi yang dapat dikaitkan dengan akun atau OU pada waktu tertentu, baik melalui aplikasi atau warisan. Ini dirancang untuk mencegah pengaturan yang bertentangan.

Diagram berikut menggambarkan bagaimana aplikasi kebijakan dan pewarisan bekerja dalam konfigurasi pusat.

![\[Menerapkan dan mewarisi kebijakan konfigurasi CSPM Security Hub\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


Dalam contoh ini, node yang disorot dengan warna hijau memiliki kebijakan konfigurasi yang telah diterapkan padanya. Node yang disorot dengan warna biru tidak memiliki kebijakan konfigurasi yang telah diterapkan padanya. Sebuah simpul yang disorot dengan warna kuning telah ditetapkan sebagai dikelola sendiri. Setiap akun dan OU menggunakan konfigurasi berikut:
+ **OU:root (Green)** - OU ini menggunakan kebijakan konfigurasi yang telah diterapkan padanya.
+ **OU:prod (Blue)** - OU ini mewarisi kebijakan konfigurasi dari ou:Root.
+ **OU: Applications (Green)** - OU ini menggunakan kebijakan konfigurasi yang telah diterapkan untuk itu.
+ **Akun 1 (Hijau)** — Akun ini menggunakan kebijakan konfigurasi yang telah diterapkan padanya.
+ **Akun 2 (Biru)** — Akun ini mewarisi kebijakan konfigurasi dari OU: Aplikasi.
+ **OU: dev (Kuning)** - OU ini dikelola sendiri.
+ **Akun 3 (Hijau)** — Akun ini menggunakan kebijakan konfigurasi yang telah diterapkan padanya.
+ **Akun 4 (Biru)** — Akun ini mewarisi perilaku yang dikelola sendiri dari OU: dev.
+ **OU:test (Biru)** - Akun ini mewarisi kebijakan konfigurasi dari OU:root.
+ **Akun 5 (Biru)** — Akun ini mewarisi kebijakan konfigurasi dari OU:root karena induk langsungnya, ou:Test, tidak terkait dengan kebijakan konfigurasi.

## Menguji kebijakan konfigurasi
<a name="test-policy"></a>

Untuk memastikan Anda memahami cara kerja kebijakan konfigurasi, sebaiknya buat satu kebijakan dan kaitkan dengan akun pengujian atau OU.

**Untuk menguji kebijakan konfigurasi**

1. Buat kebijakan konfigurasi khusus, dan verifikasi bahwa pengaturan yang ditentukan untuk pengaktifan, standar, dan kontrol CSPM Security Hub sudah benar. Untuk petunjuk, lihat [Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

1. Menerapkan kebijakan konfigurasi ke akun pengujian atau OU yang tidak memiliki akun turunan atau OUs.

1. Verifikasi bahwa akun pengujian atau OU menggunakan kebijakan konfigurasi dengan cara yang diharapkan di Wilayah asal Anda dan semua Wilayah yang ditautkan. Anda juga dapat memverifikasi bahwa semua akun lain dan OUs di organisasi Anda tetap dikelola sendiri dan dapat mengubah pengaturan mereka sendiri di setiap Wilayah.

Setelah menguji kebijakan konfigurasi dalam satu akun atau OU, Anda dapat mengaitkannya dengan akun lain dan OUs.

# Membuat dan mengaitkan kebijakan konfigurasi
<a name="create-associate-policy"></a>

Akun administrator CSPM AWS Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi yang menentukan cara CSPM, standar, dan kontrol Security Hub dikonfigurasi dalam akun tertentu dan unit organisasi (). OUs Kebijakan konfigurasi berlaku hanya setelah administrator yang didelegasikan mengaitkannya dengan setidaknya satu akun atau unit organisasi (OUs), atau root. Administrator yang didelegasikan juga dapat mengaitkan konfigurasi yang dikelola sendiri dengan akun, OUs, atau root.

Jika ini adalah pertama kalinya Anda membuat kebijakan konfigurasi, sebaiknya [Cara kerja kebijakan konfigurasi di Security Hub CSPM](configuration-policies-overview.md) tinjau terlebih dahulu.

Pilih metode akses pilihan Anda, dan ikuti langkah-langkah untuk membuat dan mengaitkan kebijakan konfigurasi atau konfigurasi yang dikelola sendiri. Saat menggunakan konsol CSPM Security Hub, Anda dapat mengaitkan konfigurasi dengan beberapa akun atau OUs pada saat yang bersamaan. Saat menggunakan Security Hub CSPM API atau AWS CLI, Anda dapat mengaitkan konfigurasi dengan hanya satu akun atau OU di setiap permintaan.

**catatan**  
Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.  
Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.  
Untuk daftar kontrol yang melibatkan sumber daya global, lihat[Kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**Untuk membuat dan mengaitkan kebijakan konfigurasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Konfigurasi** dan tab **Kebijakan**. Kemudian, pilih **Buat kebijakan**.

1. Pada halaman **Konfigurasi organisasi**, jika ini adalah pertama kalinya Anda membuat kebijakan konfigurasi, Anda akan melihat tiga opsi di bawah **Jenis konfigurasi**. Jika Anda telah membuat setidaknya satu kebijakan konfigurasi, Anda hanya melihat opsi **Kebijakan kustom**.
   + Pilih **Gunakan konfigurasi CSPM Security Hub yang AWS direkomendasikan di seluruh organisasi saya** untuk menggunakan kebijakan yang kami rekomendasikan. Kebijakan yang direkomendasikan memungkinkan CSPM Security Hub di semua akun organisasi, mengaktifkan standar Praktik Terbaik Keamanan AWS Dasar (FSBP), dan memungkinkan semua kontrol FSBP baru dan yang sudah ada. Kontrol menggunakan nilai parameter default.
   + Pilih **Saya belum siap untuk mengonfigurasi** untuk membuat kebijakan konfigurasi nanti.
   + Pilih **Kebijakan khusus** untuk membuat kebijakan konfigurasi kustom. Tentukan apakah akan mengaktifkan atau menonaktifkan CSPM Security Hub, standar mana yang akan diaktifkan, dan kontrol mana yang akan diaktifkan di seluruh standar tersebut. Secara opsional, tentukan [nilai parameter khusus](custom-control-parameters.md) untuk satu atau beberapa kontrol yang diaktifkan yang mendukung parameter kustom.

1. Di bagian **Akun**, pilih akun target OUs, atau root yang Anda inginkan untuk diterapkan oleh kebijakan konfigurasi Anda.
   + Pilih **Semua akun** jika Anda ingin menerapkan kebijakan konfigurasi ke root. Ini termasuk semua akun dan OUs di organisasi yang tidak memiliki kebijakan lain yang diterapkan atau diwariskan.
   + Pilih **Akun khusus** jika Anda ingin menerapkan kebijakan konfigurasi ke akun tertentu atau OUs. Masukkan akun IDs, atau pilih akun dan OUs dari struktur organisasi. Anda dapat menerapkan kebijakan ke maksimal 15 target (akun OUs, atau root) saat Anda membuatnya. Untuk menentukan angka yang lebih besar, edit kebijakan Anda setelah dibuat, dan terapkan ke target tambahan.
   + Pilih **Administrator yang didelegasikan hanya** untuk menerapkan kebijakan konfigurasi ke akun administrator yang didelegasikan saat ini.

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan terapkan**, tinjau detail kebijakan konfigurasi Anda. Kemudian, pilih **Buat kebijakan dan terapkan**. Di Wilayah beranda dan Wilayah tertaut, tindakan ini mengesampingkan pengaturan konfigurasi akun yang ada yang terkait dengan kebijakan konfigurasi ini. Akun dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi, atau warisan dari node induk. Akun turunan dan target OUs yang diterapkan akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali secara khusus dikecualikan, dikelola sendiri, atau menggunakan kebijakan konfigurasi yang berbeda.

------
#### [ Security Hub CSPM API ]

**Untuk membuat dan mengaitkan kebijakan konfigurasi**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

1. Untuk`Name`, berikan nama unik untuk kebijakan konfigurasi. Secara opsional, untuk`Description`, berikan deskripsi untuk kebijakan konfigurasi.

1. Untuk `ServiceEnabled` bidang, tentukan apakah Anda ingin CSPM Security Hub diaktifkan atau dinonaktifkan dalam kebijakan konfigurasi ini.

1. Untuk `EnabledStandardIdentifiers` bidang, tentukan standar CSPM Security Hub mana yang ingin Anda aktifkan dalam kebijakan konfigurasi ini.

1. Untuk `SecurityControlsConfiguration` objek, tentukan kontrol mana yang ingin Anda aktifkan atau nonaktifkan dalam kebijakan konfigurasi ini. Memilih `EnabledSecurityControlIdentifiers` berarti bahwa kontrol yang ditentukan diaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) dinonaktifkan. Memilih `DisabledSecurityControlIdentifiers` berarti bahwa kontrol yang ditentukan dinonaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) diaktifkan.

1. Secara opsional, untuk `SecurityControlCustomParameters` bidang, tentukan kontrol yang diaktifkan yang ingin Anda sesuaikan parameternya. Berikan `CUSTOM` `ValueType` bidang dan nilai parameter khusus untuk `Value` bidang tersebut. Nilai harus tipe data yang benar dan dalam rentang valid yang ditentukan oleh Security Hub CSPM. Hanya kontrol pilih yang mendukung nilai parameter khusus. Untuk informasi selengkapnya, lihat [Memahami parameter kontrol di Security Hub CSPM](custom-control-parameters.md).

1. Untuk menerapkan kebijakan konfigurasi Anda ke akun atau OUs, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1. Untuk `ConfigurationPolicyIdentifier` bidang ini, berikan Nama Sumber Daya Amazon (ARN) atau pengenal unik universal (UUID) kebijakan. ARN dan UUID dikembalikan oleh API. `CreateConfigurationPolicy` Untuk konfigurasi yang dikelola sendiri, `ConfigurationPolicyIdentifier` bidangnya sama dengan`SELF_MANAGED_SECURITY_HUB`.

1. Untuk `Target` bidang, berikan OU, akun, atau ID root yang Anda inginkan untuk menerapkan kebijakan konfigurasi ini. Anda hanya dapat memberikan satu target di setiap permintaan API. Akun turunan dan target OUs yang dipilih akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali akun tersebut dikelola sendiri atau menggunakan kebijakan konfigurasi yang berbeda.

**Contoh permintaan API untuk membuat kebijakan konfigurasi:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Contoh permintaan API untuk mengaitkan kebijakan konfigurasi:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Untuk membuat dan mengaitkan kebijakan konfigurasi**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

1. Untuk`name`, berikan nama unik untuk kebijakan konfigurasi. Secara opsional, untuk`description`, berikan deskripsi untuk kebijakan konfigurasi.

1. Untuk `ServiceEnabled` bidang, tentukan apakah Anda ingin CSPM Security Hub diaktifkan atau dinonaktifkan dalam kebijakan konfigurasi ini.

1. Untuk `EnabledStandardIdentifiers` bidang, tentukan standar CSPM Security Hub mana yang ingin Anda aktifkan dalam kebijakan konfigurasi ini.

1. Untuk `SecurityControlsConfiguration` bidang, tentukan kontrol mana yang ingin Anda aktifkan atau nonaktifkan dalam kebijakan konfigurasi ini. Memilih `EnabledSecurityControlIdentifiers` berarti bahwa kontrol yang ditentukan diaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) dinonaktifkan. Memilih `DisabledSecurityControlIdentifiers` berarti bahwa kontrol yang ditentukan dinonaktifkan. Kontrol lain yang berlaku untuk standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) diaktifkan.

1. Secara opsional, untuk `SecurityControlCustomParameters` bidang, tentukan kontrol yang diaktifkan yang ingin Anda sesuaikan parameternya. Berikan `CUSTOM` `ValueType` bidang dan nilai parameter khusus untuk `Value` bidang tersebut. Nilai harus tipe data yang benar dan dalam rentang valid yang ditentukan oleh Security Hub CSPM. Hanya kontrol pilih yang mendukung nilai parameter khusus. Untuk informasi selengkapnya, lihat [Memahami parameter kontrol di Security Hub CSPM](custom-control-parameters.md).

1. Untuk menerapkan kebijakan konfigurasi Anda ke akun atau OUs, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1. Untuk `configuration-policy-identifier` bidang, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi. ARN dan ID ini dikembalikan oleh perintah. `create-configuration-policy`

1. Untuk `target` bidang, berikan OU, akun, atau ID root yang Anda inginkan untuk menerapkan kebijakan konfigurasi ini. Anda hanya dapat memberikan satu target setiap kali Anda menjalankan perintah. Anak-anak dari target yang dipilih akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali mereka dikelola sendiri atau menggunakan kebijakan konfigurasi yang berbeda.

**Contoh perintah untuk membuat kebijakan konfigurasi:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Contoh perintah untuk mengaitkan kebijakan konfigurasi:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

`StartConfigurationPolicyAssociation`API mengembalikan bidang yang disebut`AssociationStatus`. Bidang ini memberi tahu Anda apakah asosiasi kebijakan sedang tertunda atau dalam keadaan berhasil atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari `PENDING` ke `SUCCESS` atau`FAILURE`. Untuk informasi selengkapnya tentang status asosiasi, lihat[Meninjau status asosiasi kebijakan konfigurasi](view-policy.md#configuration-association-status).

# Meninjau status dan detail kebijakan konfigurasi
<a name="view-policy"></a>

Administrator CSPM AWS Security Hub yang didelegasikan dapat melihat kebijakan konfigurasi untuk organisasi dan detailnya. Ini termasuk akun dan unit organisasi (OUs) mana yang terkait dengan kebijakan.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat kebijakan konfigurasi Anda.

------
#### [ Security Hub CSPM console ]

**Untuk melihat kebijakan konfigurasi (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan** untuk ikhtisar kebijakan konfigurasi Anda.

1. Pilih kebijakan konfigurasi, dan pilih **Lihat detail** untuk melihat detail tambahan tentangnya, termasuk akun mana dan OUs yang terkait dengannya.

------
#### [ Security Hub CSPM API ]

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)pengoperasian API CSPM Security Hub. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)perintah. Akun administrator CSPM Security Hub yang didelegasikan harus menjalankan operasi di Wilayah asal.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Untuk melihat detail tentang kebijakan konfigurasi tertentu, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda dan asosiasi akun mereka, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)perintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Untuk melihat asosiasi untuk akun tertentu, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)perintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Untuk`target`, berikan nomor akun, ID OU, atau ID root.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Meninjau status asosiasi kebijakan konfigurasi
<a name="configuration-association-status"></a>

Operasi API konfigurasi pusat berikut mengembalikan bidang yang disebut`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Bidang ini dikembalikan baik ketika konfigurasi yang mendasarinya adalah kebijakan konfigurasi dan ketika itu adalah perilaku yang dikelola sendiri.

Nilai `AssociationStatus` memberi tahu Anda apakah asosiasi kebijakan tertunda atau dalam keadaan berhasil atau gagal untuk akun tertentu. Diperlukan waktu hingga 24 jam agar status berubah dari `PENDING` ke `SUCCESS` atau`FAILED`. Status `SUCCESS` berarti bahwa semua pengaturan yang ditentukan dalam kebijakan konfigurasi dikaitkan dengan akun. Status `FAILED` berarti bahwa satu atau beberapa pengaturan yang ditentukan dalam kebijakan konfigurasi gagal dikaitkan dengan akun. Meskipun `FAILED` status, akun dapat dikonfigurasi sebagian sesuai dengan kebijakan. Misalnya, Anda dapat mencoba mengaitkan akun dengan kebijakan konfigurasi yang mengaktifkan CSPM Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar, dan menonaktifkan.1. CloudTrail Dua pengaturan awal bisa berhasil, tetapi pengaturan CloudTrail .1 bisa gagal. Dalam contoh ini, status asosiasi `FAILED` meskipun beberapa pengaturan telah dikonfigurasi dengan benar.

Status asosiasi OU orang tua atau root tergantung pada status anak-anaknya. Jika status asosiasi semua anak adalah`SUCCESS`, status asosiasi orang tua adalah`SUCCESS`. Jika status asosiasi satu atau lebih anak adalah`FAILED`, status asosiasi orang tua adalah`FAILED`.

Nilai `AssociationStatus` tergantung pada status asosiasi kebijakan di semua Wilayah terkait. Jika asosiasi berhasil di Wilayah asal dan semua Daerah terkait, nilainya `AssociationStatus` adalah`SUCCESS`. Jika asosiasi gagal di satu atau lebih Wilayah ini, nilainya `AssociationStatus` adalah`FAILED`.

Perilaku berikut juga berdampak pada nilai`AssociationStatus`:
+ Jika targetnya adalah OU orang tua atau root, ia memiliki `AssociationStatus` dari `SUCCESS` atau `FAILED` hanya ketika semua anak memiliki `FAILED` status `SUCCESS` atau. Jika status asosiasi akun turunan atau OU berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkan induk dengan konfigurasi, perubahan tersebut tidak akan memperbarui status asosiasi induk kecuali Anda menjalankan `StartConfigurationPolicyAssociation` API lagi.
+ Jika targetnya adalah akun, ia memiliki `AssociationStatus` dari `SUCCESS` atau `FAILED` hanya jika asosiasi memiliki hasil dari `SUCCESS` atau `FAILED` di Wilayah asal dan semua Wilayah yang ditautkan. Jika status asosiasi akun target berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkannya dengan konfigurasi, status asosiasinya akan diperbarui. Namun, perubahan tidak memperbarui status asosiasi induk kecuali Anda memanggil `StartConfigurationPolicyAssociation` API lagi.

Jika Anda menambahkan Wilayah tertaut baru, Security Hub CSPM mereplikasi asosiasi Anda yang ada di`PENDING`,`SUCCESS`, atau `FAILED` negara bagian di Wilayah baru.

Bahkan ketika status asosiasi adalah`SUCCESS`, status pemberdayaan standar yang merupakan bagian dari kebijakan dapat beralih ke keadaan yang tidak lengkap. Dalam hal ini, Security Hub CSPM tidak dapat menghasilkan temuan untuk kontrol standar. Untuk informasi selengkapnya, lihat [Memeriksa status standar](enable-standards.md#standard-subscription-status).

## Memecahkan masalah kegagalan asosiasi
<a name="failed-association-reasons"></a>

Di AWS Security Hub CSPM, asosiasi kebijakan konfigurasi mungkin gagal karena alasan umum berikut.
+ **Akun manajemen Organisasi bukan anggota** — Jika Anda ingin mengaitkan kebijakan konfigurasi dengan akun manajemen Organizations, akun tersebut harus sudah mengaktifkan AWS Security Hub CSPM. Ini membuat akun manajemen menjadi akun anggota dalam organisasi.
+ **AWS Config tidak diaktifkan atau dikonfigurasi dengan benar** — Untuk mengaktifkan standar dalam kebijakan konfigurasi, AWS Config harus diaktifkan dan dikonfigurasi untuk merekam sumber daya yang relevan.
+ **Harus dikaitkan dari akun administrator yang didelegasikan** — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke akun administrator CSPM Security Hub yang didelegasikan.
+ **Harus dikaitkan dari wilayah asal** — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke Wilayah asal Anda.
+ **Keikutsertaan Wilayah tidak diaktifkan** — Asosiasi kebijakan gagal untuk akun anggota atau OU di Wilayah tertaut jika itu adalah Wilayah keikutsertaan yang belum diaktifkan oleh administrator yang didelegasikan. Anda dapat mencoba lagi setelah mengaktifkan Region dari akun administrator yang didelegasikan.
+ **Akun anggota ditangguhkan** — Asosiasi kebijakan gagal jika Anda mencoba mengaitkan kebijakan dengan akun anggota yang ditangguhkan.

# Memperbarui kebijakan konfigurasi
<a name="update-policy"></a>

Setelah membuat kebijakan konfigurasi, akun administrator CSPM AWS Security Hub yang didelegasikan dapat memperbarui detail kebijakan dan asosiasi kebijakan. Saat detail kebijakan diperbarui, akun yang terkait dengan kebijakan konfigurasi secara otomatis mulai menggunakan kebijakan yang diperbarui.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Administrator yang didelegasikan dapat memperbarui setelan kebijakan berikut:
+ Mengaktifkan atau menonaktifkan Security Hub CSPM.
+ Aktifkan satu atau lebih [standar keamanan](standards-reference.md).
+ Tunjukkan [kontrol keamanan](securityhub-controls-reference.md) mana yang diaktifkan di seluruh standar yang diaktifkan. Anda dapat melakukannya dengan menyediakan daftar kontrol khusus yang harus diaktifkan, dan Security Hub CSPM menonaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis. Atau, Anda dapat memberikan daftar kontrol khusus yang harus dinonaktifkan, dan Security Hub CSPM mengaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis.
+ Secara opsional, [sesuaikan parameter](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) untuk memilih kontrol yang diaktifkan di seluruh standar yang diaktifkan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk memperbarui kebijakan konfigurasi.

**catatan**  
Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.  
Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.  
Untuk daftar kontrol yang melibatkan sumber daya global, lihat[Kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**Untuk memperbarui kebijakan konfigurasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan**.

1. Pilih kebijakan konfigurasi yang ingin Anda edit, lalu pilih **Edit**. Jika diinginkan, edit pengaturan kebijakan. Biarkan bagian ini seolah-olah Anda ingin menjaga pengaturan kebijakan tidak berubah.

1. Pilih **Berikutnya**. Jika diinginkan, edit asosiasi kebijakan. Biarkan bagian ini seolah-olah Anda ingin menjaga agar asosiasi kebijakan tidak berubah. Anda dapat mengaitkan atau memisahkan kebijakan dengan maksimal 15 target (akun OUs, atau root) saat Anda memperbaruinya. 

1. Pilih **Berikutnya**.

1. Tinjau perubahan Anda, lalu pilih **Simpan dan terapkan**. Di Wilayah beranda dan Wilayah tertaut, tindakan ini mengesampingkan setelan konfigurasi akun yang ada yang terkait dengan kebijakan konfigurasi ini. Akun dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi, atau warisan dari node induk.

------
#### [ API ]

**Untuk memperbarui kebijakan konfigurasi**

1. Untuk memperbarui setelan dalam kebijakan konfigurasi, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda perbarui. 

1. Berikan nilai yang diperbarui untuk bidang di bawah`ConfigurationPolicy`. Secara opsional, Anda juga dapat memberikan alasan untuk pembaruan.

1. Untuk menambahkan asosiasi baru untuk kebijakan konfigurasi ini, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda. Untuk menghapus satu atau beberapa asosiasi saat ini, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1. Untuk `ConfigurationPolicyIdentifier` bidang, berikan ARN atau ID kebijakan konfigurasi yang asosiasinya ingin Anda perbarui.

1. Untuk `Target` bidang, berikan akun OUs, atau ID root yang ingin Anda kaitkan atau lepaskan. Tindakan ini mengesampingkan asosiasi kebijakan sebelumnya untuk yang ditentukan OUs atau akun.

**catatan**  
Saat Anda menjalankan `UpdateConfigurationPolicy` API, Security Hub CSPM melakukan penggantian daftar lengkap untuk`EnabledStandardIdentifiers`,, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, dan bidang. `SecurityControlCustomParameters` Setiap kali Anda menjalankan API ini, berikan daftar lengkap standar yang ingin Anda aktifkan dan daftar lengkap kontrol yang ingin Anda aktifkan atau nonaktifkan dan sesuaikan parameternya.

**Contoh permintaan API untuk memperbarui kebijakan konfigurasi:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Untuk memperbarui kebijakan konfigurasi**

1. Untuk memperbarui pengaturan dalam kebijakan konfigurasi, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1.  Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda perbarui.

1. Berikan nilai yang diperbarui untuk bidang di bawah`configuration-policy`. Secara opsional, Anda juga dapat memberikan alasan untuk pembaruan.

1. Untuk menambahkan asosiasi baru untuk kebijakan konfigurasi ini, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda. Untuk menghapus satu atau beberapa asosiasi saat ini, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah rumah.

1. Untuk `configuration-policy-identifier` bidang, berikan ARN atau ID kebijakan konfigurasi yang asosiasinya ingin Anda perbarui.

1. Untuk `target` bidang, berikan akun OUs, atau ID root yang ingin Anda kaitkan atau lepaskan. Tindakan ini mengesampingkan asosiasi kebijakan sebelumnya untuk yang ditentukan OUs atau akun.

**catatan**  
Saat Anda menjalankan `update-configuration-policy` perintah, Security Hub CSPM melakukan penggantian daftar lengkap untuk`EnabledStandardIdentifiers`,, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, dan `SecurityControlCustomParameters` bidang. Setiap kali Anda menjalankan perintah ini, berikan daftar lengkap standar yang ingin Anda aktifkan dan daftar lengkap kontrol yang ingin Anda aktifkan atau nonaktifkan dan sesuaikan parameternya.

**Contoh perintah untuk memperbarui kebijakan konfigurasi:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

`StartConfigurationPolicyAssociation`API mengembalikan bidang yang disebut`AssociationStatus`. Bidang ini memberi tahu Anda apakah asosiasi kebijakan sedang tertunda atau dalam keadaan berhasil atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari `PENDING` ke `SUCCESS` atau`FAILURE`. Untuk informasi selengkapnya tentang status asosiasi, lihat[Meninjau status asosiasi kebijakan konfigurasi](view-policy.md#configuration-association-status).

# Menghapus kebijakan konfigurasi
<a name="delete-policy"></a>

Setelah membuat kebijakan konfigurasi, administrator CSPM AWS Security Hub yang didelegasikan dapat menghapusnya. Atau, administrator yang didelegasikan dapat mempertahankan kebijakan, tetapi memisahkannya dari akun tertentu atau unit organisasi (OUs), atau dari root. Untuk petunjuk tentang pemutusan kebijakan, lihat. [Memutuskan konfigurasi dari targetnya](disassociate-policy.md)

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini menjelaskan cara menghapus kebijakan konfigurasi.

Saat Anda menghapus kebijakan konfigurasi, kebijakan tersebut tidak ada lagi untuk organisasi Anda. Akun target, OUs, dan root organisasi tidak dapat lagi menggunakan kebijakan konfigurasi. Target yang dikaitkan dengan kebijakan konfigurasi yang dihapus mewarisi kebijakan konfigurasi induk terdekat, atau dikelola sendiri jika induk terdekat dikelola sendiri. Jika Anda ingin target menggunakan konfigurasi yang berbeda, Anda dapat mengaitkan target dengan kebijakan konfigurasi baru. Untuk informasi selengkapnya, lihat [Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

Sebaiknya buat dan kaitkan setidaknya satu kebijakan konfigurasi dengan organisasi Anda untuk memberikan cakupan keamanan yang memadai.

Sebelum Anda dapat menghapus kebijakan konfigurasi, Anda harus memisahkan kebijakan dari akun apa pun OUs, atau root yang berlaku saat ini.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menghapus kebijakan konfigurasi.

------
#### [ Console ]

**Untuk menghapus kebijakan konfigurasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan**. Pilih kebijakan konfigurasi yang ingin Anda hapus, lalu pilih **Hapus**. Jika kebijakan konfigurasi masih terkait dengan akun apa pun atau OUs, Anda diminta untuk terlebih dahulu memisahkan kebijakan dari target tersebut sebelum dapat menghapusnya.

1. Tinjau pesan konfirmasi. Masukkan**confirm**, dan pilih **Hapus**.

------
#### [ API ]

**Untuk menghapus kebijakan konfigurasi**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda hapus. Jika Anda menerima `ConflictException` kesalahan, kebijakan konfigurasi masih berlaku untuk akun atau OUs di organisasi Anda. Untuk mengatasi kesalahan, putuskan kebijakan konfigurasi dari akun ini atau OUs sebelum mencoba menghapusnya.

**Contoh permintaan API untuk menghapus kebijakan konfigurasi:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**Untuk menghapus kebijakan konfigurasi**

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

 Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda hapus. Jika Anda menerima `ConflictException` kesalahan, kebijakan konfigurasi masih berlaku untuk akun atau OUs di organisasi Anda. Untuk mengatasi kesalahan, putuskan kebijakan konfigurasi dari akun ini atau OUs sebelum mencoba menghapusnya.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Memutuskan konfigurasi dari targetnya
<a name="disassociate-policy"></a>

Dari akun administrator CSPM AWS Security Hub yang didelegasikan, Anda dapat memisahkan kebijakan konfigurasi atau konfigurasi yang dikelola sendiri dari akun, OU, atau root. Disassociation mempertahankan kebijakan untuk penggunaan di masa mendatang, tetapi menghapus asosiasi yang ada dari akun tertentu OUs, atau root.Anda hanya dapat memisahkan konfigurasi yang diterapkan secara langsung, bukan konfigurasi yang diwariskan. Untuk mengubah konfigurasi yang diwariskan, Anda dapat menerapkan kebijakan konfigurasi atau perilaku yang dikelola sendiri ke akun atau OU yang terpengaruh. Anda juga dapat menerapkan kebijakan konfigurasi baru, yang mencakup modifikasi yang Anda inginkan, ke induk terdekat.

Disassociation *tidak* menghapus kebijakan konfigurasi. Kebijakan ini disimpan di akun Anda, sehingga Anda dapat mengaitkannya dengan target lain di organisasi Anda. Untuk petunjuk tentang menghapus kebijakan konfigurasi, lihat[Menghapus kebijakan konfigurasi](delete-policy.md). Ketika disasosiasi selesai, target yang terpengaruh mewarisi kebijakan konfigurasi atau perilaku yang dikelola sendiri dari induk terdekat. Jika tidak ada konfigurasi yang dapat diwariskan, target mempertahankan pengaturan yang dimilikinya sebelum disasosiasi tetapi menjadi dikelola sendiri.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk memisahkan akun, OU, atau root dari konfigurasi saat ini.

------
#### [ Console ]

**Untuk memisahkan akun atau OU dari konfigurasi saat ini**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pada tab **Organizations**, pilih akun, OU, atau root yang ingin Anda lepaskan dari konfigurasi saat ini. Pilih **Edit**.

1. Pada halaman **Tentukan konfigurasi**, untuk **Manajemen**, pilih **Kebijakan diterapkan** jika Anda ingin administrator yang didelegasikan dapat menerapkan kebijakan secara langsung ke target. Pilih **Inherited** jika Anda ingin target mewarisi konfigurasi induk terdekatnya. Dalam salah satu kasus ini, administrator yang didelegasikan mengontrol pengaturan untuk target. Pilih **Self-managed** jika Anda ingin akun atau OU mengontrol pengaturannya sendiri.

1. Setelah meninjau perubahan Anda, pilih **Berikutnya** dan **Terapkan**. Tindakan ini mengesampingkan konfigurasi akun yang ada atau OUs yang berada dalam cakupan, jika konfigurasi tersebut bertentangan dengan pilihan Anda saat ini.

------
#### [ API ]

**Untuk memisahkan akun atau OU dari konfigurasi saat ini**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

1.  Untuk`ConfigurationPolicyIdentifier`, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda putuskan. Sediakan bidang ini `SELF_MANAGED_SECURITY_HUB` untuk memisahkan perilaku yang dikelola sendiri.

1.  Untuk`Target`, berikan akun, OUs, atau root yang ingin Anda memisahkan dari kebijakan konfigurasi ini.

**Contoh permintaan API untuk memisahkan kebijakan konfigurasi:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Untuk memisahkan akun atau OU dari konfigurasi saat ini**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

1.  Untuk`configuration-policy-identifier`, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda putuskan. Sediakan bidang ini `SELF_MANAGED_SECURITY_HUB` untuk memisahkan perilaku yang dikelola sendiri.

1.  Untuk`target`, berikan akun, OUs, atau root yang ingin Anda memisahkan dari kebijakan konfigurasi ini.

**Contoh perintah untuk memisahkan kebijakan konfigurasi:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Mengkonfigurasi standar atau kontrol dalam konteks
<a name="central-configuration-in-context"></a>

Bila Anda menggunakan [konfigurasi pusat](central-configuration-intro.md) di AWS Security Hub CSPM, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi yang menentukan cara CSPM Security Hub, standar keamanan, dan kontrol keamanan dikonfigurasi untuk organisasi. Administrator yang didelegasikan dapat mengaitkan kebijakan dengan akun tertentu dan unit organisasi (OU). Kebijakan berlaku di Wilayah asal Anda dan semua Wilayah terkait. Administrator yang didelegasikan dapat memperbarui kebijakan konfigurasi seperlunya.

Di konsol CSPM Security Hub, administrator yang didelegasikan dapat memperbarui kebijakan konfigurasi dengan dua cara—dari halaman **Konfigurasi**, atau dalam konteks alur kerja yang ada. Yang terakhir ini dapat bermanfaat karena, saat Anda melihat temuan keamanan, Anda dapat menemukan standar dan kontrol mana yang paling relevan dengan lingkungan Anda dan mengonfigurasinya pada saat yang bersamaan.

Konfigurasi dalam konteks hanya tersedia di konsol CSPM Security Hub. Secara terprogram, administrator yang didelegasikan harus memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)pengoperasian Security Hub CSPM API untuk mengubah cara standar atau kontrol tertentu dikonfigurasi dalam organisasi.

Ikuti langkah-langkah ini untuk mengonfigurasi standar atau kontrol CSPM Security Hub dalam konteks.

**Untuk mengkonfigurasi standar atau kontrol dalam konteks (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih salah satu opsi berikut:
   + Untuk mengkonfigurasi standar, pilih **Standar keamanan**, dan pilih standar tertentu.
   + Untuk mengonfigurasi kontrol, pilih **Kontrol**, dan pilih kontrol tertentu.

1. Konsol mencantumkan kebijakan konfigurasi CSPM Security Hub yang ada dan status standar atau kontrol yang dipilih di masing-masing. Pilih opsi untuk mengaktifkan atau menonaktifkan standar atau kontrol di setiap kebijakan konfigurasi yang ada. Untuk kontrol, Anda juga dapat memilih untuk menyesuaikan [parameter kontrol](custom-control-parameters.md). Anda tidak dapat membuat kebijakan baru selama konfigurasi dalam konteks. Untuk membuat kebijakan baru, Anda harus pergi ke halaman **Konfigurasi**, pilih tab **Kebijakan**, lalu pilih **Buat kebijakan**.

1. Setelah melakukan perubahan, pilih **Berikutnya**.

1. Tinjau perubahan Anda, dan pilih **Terapkan**. Pembaruan memengaruhi semua akun dan OUs yang terkait dengan kebijakan konfigurasi yang diubah. Pembaruan juga berlaku di Wilayah asal dan semua Wilayah yang ditautkan.

# Menonaktifkan konfigurasi pusat di Security Hub CSPM
<a name="stop-central-configuration"></a>

Saat Anda menonaktifkan konfigurasi pusat di AWS Security Hub CSPM, administrator yang didelegasikan kehilangan kemampuan untuk mengonfigurasi CSPM Security Hub, standar keamanan, dan kontrol keamanan di beberapa unit organisasi () Akun AWS, dan. OUs Wilayah AWS Sebagai gantinya, Anda harus mengonfigurasi sebagian besar pengaturan secara terpisah untuk setiap akun di setiap Wilayah.

**penting**  
Sebelum Anda dapat menonaktifkan konfigurasi pusat, Anda harus terlebih dahulu [memisahkan akun Anda dan OUs](disassociate-policy.md) dari konfigurasi mereka saat ini, apakah itu kebijakan konfigurasi atau perilaku yang dikelola sendiri.  
Sebelum Anda dapat menonaktifkan konfigurasi pusat, Anda juga harus [menghapus kebijakan konfigurasi yang ada](delete-policy.md).

Ketika Anda menonaktifkan konfigurasi pusat, perubahan berikut terjadi:
+ Administrator yang didelegasikan tidak dapat lagi membuat kebijakan konfigurasi untuk organisasi.
+ Akun yang memiliki kebijakan konfigurasi yang diterapkan atau diwariskan mempertahankan pengaturan mereka saat ini, tetapi menjadi dikelola sendiri.
+ Organisasi Anda beralih ke *konfigurasi lokal*. Di bawah konfigurasi lokal, sebagian besar pengaturan CSPM Security Hub harus dikonfigurasi secara terpisah di setiap akun organisasi dan Wilayah. Administrator yang didelegasikan dapat memilih untuk mengaktifkan CSPM Security Hub secara otomatis, [standar keamanan default](securityhub-auto-enabled-standards.md), dan semua kontrol yang merupakan bagian dari standar default di akun organisasi baru. Standar default adalah AWS Foundational Security Best Practices (FSBP) dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Pengaturan ini hanya berlaku di Wilayah saat ini dan hanya memengaruhi akun organisasi baru. Administrator yang didelegasikan tidak dapat mengubah standar mana yang default. Konfigurasi lokal tidak mendukung penggunaan kebijakan konfigurasi atau konfigurasi di tingkat OU.

Identitas akun administrator yang didelegasikan tetap sama ketika Anda berhenti menggunakan konfigurasi pusat. Wilayah asal Anda dan Wilayah terkait juga tetap sama (Wilayah asal Anda sekarang disebut Wilayah agregasi, dan dapat digunakan untuk menemukan agregasi).

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk berhenti menggunakan konfigurasi pusat dan beralih ke konfigurasi lokal.

------
#### [ Security Hub CSPM console ]

**Untuk menonaktifkan konfigurasi pusat (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensil akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Pada panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Di bagian **Ikhtisar**, pilih **Edit**.

1. Di kotak **Edit konfigurasi organisasi**, pilih **Konfigurasi lokal**. Jika belum melakukannya, Anda diminta untuk memisahkan dan menghapus kebijakan konfigurasi Anda saat ini sebelum Anda dapat menghentikan konfigurasi pusat. Akun atau OUs yang ditetapkan sebagai dikelola sendiri harus dipisahkan dari konfigurasi yang dikelola sendiri. Anda dapat melakukan ini di konsol dengan [mengubah jenis manajemen setiap akun yang](central-configuration-management-type.md#choose-management-type) dikelola sendiri atau OU menjadi **dikelola secara terpusat** dan **Mewarisi dari** organisasi saya.

1. Secara opsional, pilih pengaturan default konfigurasi lokal untuk akun organisasi baru.

1. Pilih **Konfirmasi**.

------
#### [ Security Hub CSPM API ]

**Untuk menonaktifkan konfigurasi pusat (API)**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API.

1. Atur `ConfigurationType` bidang di `OrganizationConfiguration` objek ke`LOCAL`. API menampilkan kesalahan jika Anda memiliki kebijakan konfigurasi atau asosiasi kebijakan yang ada. Untuk memisahkan kebijakan konfigurasi, panggil API. `StartConfigurationPolicyDisassociation` Untuk menghapus kebijakan konfigurasi, panggil `DeleteConfigurationPolicy` API.

1. Jika Anda ingin mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru, setel `AutoEnable` kolom ke. `true` Secara default, nilai bidang ini adalah`false`, dan CSPM Security Hub tidak diaktifkan secara otomatis di akun organisasi baru. Secara opsional, jika Anda ingin mengaktifkan standar keamanan default secara otomatis di akun organisasi baru, setel `AutoEnableStandards` bidang ke`DEFAULT`. Ini nilai default. Jika Anda tidak ingin mengaktifkan standar keamanan default secara otomatis di akun organisasi baru, setel `AutoEnableStandards` bidang tersebut`NONE`.

**Contoh permintaan API:**

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Untuk menonaktifkan konfigurasi pusat (AWS CLI)**

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).

1. Atur `ConfigurationType` bidang di `organization-configuration` objek ke`LOCAL`. Perintah mengembalikan kesalahan jika Anda memiliki kebijakan konfigurasi atau asosiasi kebijakan yang ada. Untuk memisahkan kebijakan konfigurasi, jalankan `start-configuration-policy-disassociation` perintah. Untuk menghapus kebijakan konfigurasi, jalankan `delete-configuration-policy` perintah.

1. Jika Anda ingin mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru, sertakan parameternya`auto-enable`. Secara default, nilai parameter ini adalah`no-auto-enable`, dan CSPM Security Hub tidak diaktifkan secara otomatis di akun organisasi baru. Secara opsional, jika Anda ingin mengaktifkan standar keamanan default secara otomatis di akun organisasi baru, setel `auto-enable-standards` bidang ke`DEFAULT`. Ini nilai default. Jika Anda tidak ingin mengaktifkan standar keamanan default secara otomatis di akun organisasi baru, setel `auto-enable-standards` bidang tersebut`NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------