Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Aggiornamento delle politiche di configurazione Dopo aver creato una politica di configurazione, l'account amministratore CSPM AWS di Security Hub delegato può aggiornare i dettagli e le associazioni delle politiche. Quando i dettagli della politica vengono aggiornati, gli account associati alla politica di configurazione iniziano automaticamente a utilizzare la politica aggiornata. Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md). L'amministratore delegato può aggiornare le seguenti impostazioni dei criteri: + Abilita o disabilita Security Hub CSPM. + Abilita uno o più standard di [sicurezza](standards-reference.md). + Indica quali [controlli di sicurezza](securityhub-controls-reference.md) sono abilitati tra gli standard abilitati. È possibile farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub CSPM disabilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati. In alternativa, puoi fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub CSPM abilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati. + Facoltativamente, [personalizza i parametri](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) per selezionare i controlli abilitati tra gli standard abilitati. Scegli il tuo metodo preferito e segui i passaggi per aggiornare una politica di configurazione. **Nota** Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine. Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate. Per un elenco dei controlli che coinvolgono risorse globali, consulta[Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources). ------ #### [ Console ] **Per aggiornare le politiche di configurazione** 1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza. 1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.**** 1. Scegliere la scheda **Policy**. 1. Seleziona la politica di configurazione che desideri modificare e scegli **Modifica**. Se lo desideri, modifica le impostazioni dei criteri. Lasciate questa sezione così com'è se desiderate mantenere invariate le impostazioni dei criteri. 1. Scegliete **Avanti**. Se lo desiderate, modificate le associazioni di policy. Lasciate questa sezione così com'è se desiderate mantenere invariate le associazioni di politiche. Puoi associare o dissociare la policy con un massimo di 15 obiettivi (account o root) quando la aggiorni. OUs 1. Scegli **Next (Successivo)**. 1. Controlla le modifiche e scegli **Salva e applica**. Nella tua regione d'origine e nelle regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati a una politica di configurazione tramite l'applicazione o ereditati da un nodo principale. ------ #### [ API ] **Per aggiornare le politiche di configurazione** 1. Per aggiornare le impostazioni in una politica di configurazione, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di residenza. 1. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare. 1. Fornisci valori aggiornati per i campi `ConfigurationPolicy` sottostanti. Facoltativamente, puoi anche fornire un motivo per l'aggiornamento. 1. Per aggiungere nuove associazioni per questa politica di configurazione, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di residenza. Per rimuovere una o più associazioni correnti, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine. 1. Per il `ConfigurationPolicyIdentifier` campo, fornisci l'ARN o l'ID della politica di configurazione di cui desideri aggiornare le associazioni. 1. Per il `Target` campo, fornite gli account o l'ID root che desiderate associare o dissociare. OUs Questa azione sostituisce le precedenti associazioni di policy per gli account o gli account specificati OUs . **Nota** Quando si richiama l'`UpdateConfigurationPolicy`API, Security Hub CSPM esegue una sostituzione completa dell'elenco per i campi`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, e. `SecurityControlCustomParameters` Ogni volta che richiami questa API, fornisci l'elenco completo degli standard che desideri abilitare e l'elenco completo dei controlli che desideri abilitare o disabilitare e per cui personalizzare i parametri. **Esempio di richiesta API per aggiornare una politica di configurazione:** ``` { "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Description": "Updated configuration policy", "UpdatedReason": "Disabling CloudWatch.1", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2", "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } } ``` ------ #### [ AWS CLI ] **Per aggiornare le politiche di configurazione** 1. Per aggiornare le impostazioni in una politica di configurazione, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di residenza. 1. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare. 1. Fornisci valori aggiornati per i campi `configuration-policy` sottostanti. Facoltativamente, puoi anche fornire un motivo per l'aggiornamento. 1. Per aggiungere nuove associazioni per questa politica di configurazione, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nell'area di residenza. Per rimuovere una o più associazioni correnti, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nell'area di residenza. 1. Per il `configuration-policy-identifier` campo, fornisci l'ARN o l'ID della politica di configurazione di cui desideri aggiornare le associazioni. 1. Per il `target` campo, fornite gli account o l'ID root che desiderate associare o dissociare. OUs Questa azione sostituisce le precedenti associazioni di policy per gli account o gli account specificati OUs . **Nota** Quando si esegue il `update-configuration-policy` comando, Security Hub CSPM esegue una sostituzione completa dell'elenco per i `EnabledStandardIdentifiers` campi, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, e`SecurityControlCustomParameters`. Ogni volta che esegui questo comando, fornisci l'elenco completo degli standard che desideri abilitare e l'elenco completo dei controlli per cui desideri abilitare o disabilitare e personalizzare i parametri. **Comando di esempio per aggiornare una politica di configurazione:** ``` aws securityhub update-configuration-policy \ --region us-east-1 \ --identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --description "Updated configuration policy" \ --updated-reason "Disabling CloudWatch.1" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' ``` ------ L'`StartConfigurationPolicyAssociation`API restituisce un campo chiamato`AssociationStatus`. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a `SUCCESS` o `FAILURE` può richiedere fino a 24 ore. `PENDING` Per ulteriori informazioni sullo stato dell'associazione, vedere[Revisione dello stato di associazione di una politica di configurazione](view-policy.md#configuration-association-status).