Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Creazione e associazione di policy di configurazione L'account amministratore delegato AWS di Security Hub CSPM può creare policy di configurazione che specificano come il CSPM, gli standard e i controlli di Security Hub sono configurati in account e unità organizzative specifici (). OUs Una politica di configurazione ha effetto solo dopo che l'amministratore delegato la associa ad almeno un account o unità organizzativa () o alla radice. OUs L'amministratore delegato può anche associare una configurazione autogestita agli account o alla directory principale OUs. Se è la prima volta che crei una politica di configurazione, ti consigliamo di esaminarla prima. [Come funzionano le politiche di configurazione in Security Hub CSPM](configuration-policies-overview.md) Scegliete il metodo di accesso preferito e seguite i passaggi per creare e associare una policy di configurazione o una configurazione autogestita. Quando si utilizza la console Security Hub CSPM, è possibile associare una configurazione a più account o OUs contemporaneamente. Quando si utilizza l'API CSPM di Security Hub AWS CLI, è possibile associare una configurazione a un solo account o unità organizzativa in ogni richiesta. **Nota** Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine. Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate. Per un elenco dei controlli che coinvolgono risorse globali, consulta[Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources). ------ #### [ Security Hub CSPM console ] **Per creare e associare politiche di configurazione** 1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza. 1. **Nel riquadro di navigazione, scegli **Configurazione** e la scheda Politiche.** Quindi, scegli **Crea politica**. 1. Nella pagina **Configura organizzazione**, se è la prima volta che crei una politica di configurazione, vedi tre opzioni in **Tipo di configurazione**. Se hai già creato almeno una politica di configurazione, vedi solo l'opzione **Politica personalizzata**. + Scegli **Usa la configurazione CSPM AWS consigliata di Security Hub in tutta la mia organizzazione** per utilizzare la nostra politica consigliata. La politica consigliata abilita Security Hub CSPM in tutti gli account dell'organizzazione, abilita lo standard AWS Foundational Security Best Practices (FSBP) e abilita tutti i controlli FSBP nuovi ed esistenti. I controlli utilizzano i valori dei parametri predefiniti. + Scegli **Non sono ancora pronto a configurare per** creare una politica di configurazione in un secondo momento. + Scegli **Politica personalizzata** per creare una politica di configurazione personalizzata. Specificare se abilitare o disabilitare Security Hub CSPM, quali standard abilitare e quali controlli abilitare in base a tali standard. Facoltativamente, specifica [i valori dei parametri personalizzati](custom-control-parameters.md) per uno o più controlli abilitati che supportano i parametri personalizzati. 1. Nella sezione **Account**, scegli a quali account di destinazione o la directory principale a cui desideri applicare la politica di configurazione. OUs + Scegli **Tutti gli account** se desideri applicare la politica di configurazione alla radice. Ciò include tutti gli account e l'organizzazione OUs a cui non è stata applicata o ereditata un'altra politica. + Scegli **Account specifici** se desideri applicare la politica di configurazione a account specifici o OUs. Inserisci l'account IDs o seleziona gli account OUs dalla struttura dell'organizzazione. È possibile applicare la politica a un massimo di 15 destinazioni (account o root) al momento della creazione. OUs Per specificare un numero maggiore, modifica la policy dopo la creazione e applicala a obiettivi aggiuntivi. + Scegli **Solo l'amministratore delegato** per applicare la politica di configurazione all'account amministratore delegato corrente. 1. Scegli **Next (Successivo)**. 1. Nella pagina **Rivedi e applica**, esamina i dettagli della politica di configurazione. Quindi, scegli **Crea politica e applica**. Nella tua regione d'origine e nelle aree collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati alla politica di configurazione tramite l'applicazione o l'ereditarietà da un nodo principale. Gli account secondari e le destinazioni applicate erediteranno automaticamente questa politica OUs di configurazione a meno che non vengano specificamente esclusi, gestiti automaticamente o utilizzino una politica di configurazione diversa. ------ #### [ Security Hub CSPM API ] **Per creare e associare politiche di configurazione** 1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine. 1. Per`Name`, fornisci un nome univoco per la politica di configurazione. Facoltativamente`Description`, fornisci una descrizione della politica di configurazione. 1. Per il `ServiceEnabled` campo, specificare se si desidera che Security Hub CSPM sia abilitato o disabilitato in questa politica di configurazione. 1. Per il `EnabledStandardIdentifiers` campo, specificare gli standard CSPM di Security Hub che si desidera abilitare in questa politica di configurazione. 1. Per l'`SecurityControlsConfiguration`oggetto, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta `EnabledSecurityControlIdentifiers` significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta `DisabledSecurityControlIdentifiers` significa che i controlli specificati sono disabilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati. 1. Facoltativamente, per il `SecurityControlCustomParameters` campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. `CUSTOM`Specificate il `ValueType` campo e il valore del parametro personalizzato per il `Value` campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub CSPM. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md). 1. Per applicare la politica di configurazione agli account oppure OUs, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine. 1. Per il `ConfigurationPolicyIdentifier` campo, fornisci l'Amazon Resource Name (ARN) o l'identificatore univoco universale (UUID) della politica. L'ARN e l'UUID vengono restituiti dall'API. `CreateConfigurationPolicy` Per una configurazione autogestita, il `ConfigurationPolicyIdentifier` campo è uguale a. `SELF_MANAGED_SECURITY_HUB` 1. Per il `Target` campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo in ogni richiesta API. Gli account secondari e OUs della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non vengano gestiti autonomamente o utilizzino una politica di configurazione diversa. **Esempio di richiesta API per creare una politica di configurazione:** ``` { "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } } ``` **Esempio di richiesta API per associare una politica di configurazione:** ``` { "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} } ``` ------ #### [ AWS CLI ] **Per creare e associare politiche di configurazione** 1. Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine. 1. Per`name`, fornisci un nome univoco per la politica di configurazione. Facoltativamente`description`, fornisci una descrizione della politica di configurazione. 1. Per il `ServiceEnabled` campo, specificare se si desidera che Security Hub CSPM sia abilitato o disabilitato in questa politica di configurazione. 1. Per il `EnabledStandardIdentifiers` campo, specificare gli standard CSPM di Security Hub che si desidera abilitare in questa politica di configurazione. 1. Per il `SecurityControlsConfiguration` campo, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta `EnabledSecurityControlIdentifiers` significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta `DisabledSecurityControlIdentifiers` significa che i controlli specificati sono disabilitati. Gli altri controlli che si applicano agli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati. 1. Facoltativamente, per il `SecurityControlCustomParameters` campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. `CUSTOM`Specificate il `ValueType` campo e il valore del parametro personalizzato per il `Value` campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub CSPM. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md). 1. Per applicare la politica di configurazione agli account oppure OUs, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine. 1. Per il `configuration-policy-identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione. L'ARN e l'ID vengono restituiti dal `create-configuration-policy` comando. 1. Per il `target` campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo ogni volta che si esegue il comando. I figli della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non si gestiscano autonomamente o utilizzino una politica di configurazione diversa. **Comando di esempio per creare una politica di configurazione:** ``` aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' ``` **Comando di esempio per associare una politica di configurazione:** ``` aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}' ``` ------ L'`StartConfigurationPolicyAssociation`API restituisce un campo chiamato`AssociationStatus`. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a `SUCCESS` o `FAILURE` può richiedere fino a 24 ore. `PENDING` Per ulteriori informazioni sullo stato dell'associazione, vedere[Revisione dello stato di associazione di una politica di configurazione](view-policy.md#configuration-association-status).