기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Security Hub CSPM의 제어 파라미터 이해
<a name="custom-control-parameters"></a>

 AWS Security Hub CSPM의 일부 제어는 제어 평가 방식에 영향을 미치는 파라미터를 사용합니다. 일반적으로 이러한 제어는 Security Hub CSPM에서 정의하는 기본 파라미터 값을 기준으로 평가합니다. 하지만 이러한 제어의 한 하위 세트에 대해서는 파라미터 값을 수정할 수 있습니다. 제어의 파라미터 값을 사용자 지정하면 Security Hub CSPM은 지정한 값을 기준으로 제어를 평가하기 시작합니다. 제어의 기반이 되는 리소스가 사용자 지정 값을 만족하는 경우, Security Hub CSPM은 `PASSED` 조사 결과를 생성합니다. 리소스가 사용자 지정 값을 만족하지 않으면 Security Hub CSPM은 `FAILED` 조사 결과를 생성합니다.

제어 파라미터를 사용자 지정하면 Security Hub CSPM이 권장하고 모니터링하는 보안 모범 사례를 비즈니스 요구 사항 및 보안 기대치에 맞게 조정할 수 있습니다. 제어에 대한 조사 결과를 숨기는 대신 하나 이상의 파라미터를 사용자 지정하여 보안 요구 사항에 맞는 조사 결과를 얻을 수 있습니다.

다음은 사용자 지정 제어 파라미터 수정과 설정 사용자 지정 값의 몇 가지 샘플 사용 사례입니다.
+ **[CloudWatch.16] – CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.**

  보존 기간을 지정할 수 있습니다.
+ **[IAM.7] – IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.**

  암호 강도와 관련된 파라미터를 지정할 수 있습니다.
+ **[EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.**

  수신 트래픽을 제한 없이 허용할 수 있는 포트를 지정할 수 있습니다.
+ **[Lambda.5] - VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.**

  조사 결과 통과를 생성하는 최소 가용 영역 수를 지정할 수 있습니다.

이 섹션에서는 제어 파라미터를 수정할 때 고려해야 할 사항에 대해 다룹니다.

## 제어 파라미터 값 수정의 영향
<a name="custom-control-parameters-overview"></a>

파라미터 값을 변경하면 새로운 값을 기반으로 제어를 평가하는 새로운 보안 검사도 트리거됩니다. 그런 다음 Security Hub CSPM은 새로운 값을 기반으로 새로운 제어 조사 결과를 생성합니다. 제어 조사 결과를 정기적으로 업데이트하는 동안 Security Hub CSPM은 새로운 파라미터 값도 사용합니다. 제어의 파라미터 값을 변경했지만 제어가 포함된 표준을 활성화하지 않은 경우, Security Hub CSPM은 새로운 값을 사용하여 보안 검사를 수행하지 않습니다. Security Hub CSPM이 새로운 파라미터 값을 기반으로 제어를 평가하려면 관련 표준을 하나 이상 활성화해야 합니다.

제어에는 하나 이상의 사용자 지정 파라미터 설정이 있을 수 있습니다. 개별 제어 파라미터에 가능한 데이터 유형은 다음과 같습니다.
+ Boolean
+ 배정밀도 실수
+ Enum
+ EnumList
+ Integer
+ IntegerList
+ String
+ StringList

사용자 지정 파라미터 값은 활성화된 표준 전체에 적용됩니다. 현재 리전에서 지원되지 않는 제어의 파라미터는 사용자 지정할 수 없습니다. 개별 제어의 리전별 제한 목록은 [Security Hub CSPM 제어에 대한 리전별 제한](regions-controls.md) 섹션을 참조하세요.

일부 제어의 경우, 허용되는 파라미터 값도 지정된 범위에 속해야 유효합니다. 이러한 경우, Security Hub CSPM은 허용 가능한 범위를 제공합니다.

Security Hub CSPM은 기본 파라미터 값을 선택하고 때때로 이를 업데이트할 수 있습니다. 제어 파라미터를 사용자 지정한 후 해당 값은 변경하지 않는 한 파라미터에 대해 지정한 값이 계속 유지됩니다. 즉, 파라미터의 사용자 지정 값이 Security Hub CSPM이 정의한 현재 기본값과 일치하더라도 파라미터는 기본 Security Hub CSPM 값에 대한 업데이트 추적을 중지합니다. 다음은 **[ACM.1] - 가져온 인증서와 ACM에서 발급한 인증서는 지정된 기간 후에 갱신해야 합니다** 제어의 예제입니다.

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

위 예제에서 `daysToExpiration` 파라미터의 사용자 지정 값은 `30`입니다. 이 파라미터의 현재 기본값 또한 `30`입니다. Security Hub CSPM이 기본값을 `14`로 변경하는 경우, 이 예제의 파라미터는 해당 변경 내용을 추적하지 않습니다. 값은 `30`(으)로 유지됩니다.

파라미터의 기본 Security Hub CSPM 값에 대한 업데이트를 추적하려면 `ValueType` 필드를 `CUSTOM` 대신 `DEFAULT`로 설정하세요. 자세한 내용은 [단일 계정 및 리전에서 기본 파라미터 값으로 되돌리기](revert-default-parameter-values.md#revert-default-parameter-values-local-config) 단원을 참조하십시오.

## 사용자 지정 파라미터를 지원하는 제어
<a name="controls-list-custom-parameters"></a>

사용자 지정 파라미터를 지원하는 보안 제어 목록을 보려면 Security Hub CSPM 콘솔의 **제어** 페이지 또는 [Security Hub CSPM 제어 참조](securityhub-controls-reference.md) 섹션을 참조하세요. 프로그래밍 방식으로 이 목록을 검색하려면 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) 작업을 사용하면 됩니다. 응답에서 `CustomizableProperties` 객체는 사용자 지정 가능한 파라미터를 지원하는 제어를 나타냅니다.

# 현재 제어 파라미터 값 검토
<a name="view-control-parameters"></a>

제어 파라미터를 수정하기 전에 제어 파라미터의 현재 값을 아는 것이 도움이 될 수 있습니다.

계정에서 개별 제어 파라미터의 현재 값을 검토할 수 있습니다. 중앙 구성을 사용하는 경우 위임된 AWS Security Hub CSPM 관리자는 구성 정책에 지정된 파라미터 값도 검토할 수 있습니다.

원하는 방법을 선택하고 단계에 따라 현재 제어 파라미터 값을 검토하세요.

------
#### [ Security Hub CSPM console ]

**현재 제어 파라미터 값을 검토하려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **제어**를 선택합니다. 제어를 선택합니다.

1. **파라미터** 탭을 선택합니다. 이 탭에는 제어의 현재 파라미터 값이 표시됩니다.

------
#### [ Security Hub CSPM API ]

**현재 제어 파라미터 값을 검토하려면(API)**

[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) API를 호출하고 하나 이상의 보안 제어 ID 또는 ARN을 제공하세요. 응답의 `Parameters` 객체에는 지정된 제어의 현재 파라미터 값이 표시됩니다.

예를 들어 다음 AWS CLI 명령은 , `APIGatway.1` `CloudWatch.15`및에 대한 현재 파라미터 값을 보여줍니다`IAM.7`. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

중앙 구성 정책에서 현재 파라미터 값을 보려면 원하는 방법을 선택하세요.

------
#### [ Security Hub CSPM console ]

**구성 정책의 현재 파라미터 값을 검토하려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

   홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.

1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.

1. **정책** 탭에서 구성 정책을 선택한 다음 **세부 정보 보기**를 선택합니다. 그러면 현재 파라미터 값을 포함한 정책 세부 정보가 나타납니다.

------
#### [ Security Hub CSPM API ]

**구성 정책의 현재 파라미터 값을 검토하려면(API)**

1. 홈 리전의 위임된 관리자 계정에서 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) API를 호출합니다.

1. 세부 정보를 보려는 구성 정책의 ARN 또는 ID를 입력합니다. 응답에는 현재 파라미터 값이 포함됩니다.

예를 들어 다음 AWS CLI 명령은 지정된 구성 정책에서 현재 제어 파라미터 값을 검색합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

제어 조사 결과에는 제어 파라미터의 현재 값도 포함됩니다. [AWS 보안 조사 결과 형식(ASFF)](securityhub-findings-format.md)에서는 이러한 값이 `Compliance` 객체의 `Parameters` 필드에 표시됩니다. Security Hub CSPM 콘솔에서 조사 결과를 검토하려면 탐색 창에서 **조사 결과**를 선택합니다. 조사 결과를 프로그래밍 방식으로 검토하려면 Security Hub CSPM API의 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html) 작업을 사용하세요.

# 제어 파라미터값 사용자 지정
<a name="customize-control-parameters"></a>

제어 파라미터를 사용자 지정하는 지침은 AWS Security Hub CSPM에서 [중앙 구성을](central-configuration-intro.md) 사용하는지 여부에 따라 달라집니다. 중앙 구성은 위임된 Security Hub CSPM 관리자가 AWS 리전, 계정 및 조직 단위(OUs.

조직에서 중앙 구성을 사용하는 경우, 위임된 관리자는 사용자 지정 제어 파라미터가 포함된 구성 정책을 만들 수 있습니다. 이러한 정책은 중앙에서 관리되는 구성원 계정 및 OU에 연결할 수 있으며 홈 리전 및 연결된 모든 리전에 적용됩니다. 또한 위임된 관리자는 하나 이상의 계정을 자체 관리형 계정으로 지정할 수 있으며, 이렇게 하면 계정 소유자가 각 리전에서 개별적으로 자체 파라미터를 구성할 수 있습니다. 조직에서 중앙 구성을 사용하지 않는 경우, 각 계정 및 리전에서 제어 파라미터를 개별적으로 사용자 지정해야 합니다.

중앙 구성을 사용하면 조직의 여러 부분에 걸쳐 제어 파라미터 값을 조정할 수 있으므로 중앙 구성을 사용하는 것이 좋습니다. 예를 들어, 모든 테스트 계정은 특정 파라미터 값을 사용하고 모든 프로덕션 계정은 다른 값을 사용할 수 있습니다.

## 다중 계정 및 리전의 제어 파라미터를 사용자 지정하려면
<a name="customize-control-parameters-central-config"></a>

중앙 구성을 사용하는 조직의 Security Hub CSPM 위임된 관리자인 경우, 원하는 방법을 선택하고 단계에 따라 다중 계정 및 리전의 제어 파라미터를 사용자 지정합니다.

------
#### [ Security Hub CSPM console ]

**다중 계정 및 리전의 제어 파라미터 값을 사용자 지정하려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

   홈 리전에 로그인했는지 확인합니다.

1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.

1. **정책** 탭을 선택합니다.

1. 사용자 지정 파라미터가 포함된 새로운 구성 정책을 만들려면 **정책 생성**을 선택합니다. 기존 구성 정책에서 사용자 지정 파라미터를 지정하려면 정책을 선택한 다음 **편집**을 선택합니다.

   **사용자 지정 파라미터 값을 사용하여 새로운 구성 정책을 만들려면**

   1. **사용자 지정 정책** 섹션에서 활성화하려는 보안 표준 및 제어를 선택합니다.

   1. **제어 파라미터 사용자 지정**을 선택합니다.

   1. 제어를 선택한 다음 하나 이상의 파라미터에 대한 사용자 지정 값을 지정합니다.

   1. 더 많은 제어에 사용할 파라미터를 사용자 지정하려면 **추가 제어 사용자 지정**을 선택합니다.

   1. **계정** 섹션에서 정책을 적용할 계정 또는 OU를 선택합니다.

   1. **다음**을 선택합니다.

   1. **정책 생성 및 적용**을 선택합니다. 홈 리전 및 연결된 모든 리전에서 이 작업은 이 구성 정책과 연결된 계정 및 OU의 기존 구성 설정보다 우선합니다. 계정과 OU는 상위로부터의 직접 적용 또는 상속을 통해 구성 정책에 연결할 수 있습니다.

   **기존 구성 정책에서 제어 파라미터 값을 사용자 지정하려면**

   1. **제어** 섹션의 **사용자 지정 정책**에서 원하는 새로운 사용자 지정 파라미터 값을 지정합니다.

   1. 이 정책의 제어 파라미터를 처음으로 사용자 지정하는 경우, **제어 파라미터 사용자 지정**을 선택한 다음 사용자 지정할 제어를 선택합니다. 더 많은 제어에 사용할 파라미터를 사용자 지정하려면 **추가 제어 사용자 지정**을 선택합니다.

   1. **계정** 섹션에서 정책을 적용할 계정 또는 OU를 확인합니다.

   1. **다음**을 선택합니다.

   1. 변경 내용을 검토하고 올바른지 확인합니다. 완료하면 **정책 저장 및 적용**을 선택합니다. 홈 리전 및 연결된 모든 리전에서 이 작업은 이 구성 정책과 연결된 계정 및 OU의 기존 구성 설정보다 우선합니다. 계정과 OU는 상위로부터의 직접 적용 또는 상속을 통해 구성 정책에 연결할 수 있습니다.

------
#### [ Security Hub CSPM API ]

**다중 계정 및 리전의 제어 파라미터 값을 사용자 지정하려면(API)**

**사용자 지정 파라미터 값을 사용하여 새로운 구성 정책을 만들려면**

1. 홈 리전의 위임된 관리자 계정에서 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API를 호출합니다.

1. `SecurityControlCustomParameters` 객체에는 사용자 지정하려는 각 제어의 식별자를 입력합니다.

1. `Parameters` 객체에는 사용자 지정하려는 각 파라미터의 이름을 입력합니다. 사용자 지정하는 각 파라미터의 경우, `ValueType`에 대해 `CUSTOM`을(를) 입력합니다. `Value`에는 파라미터의 데이터 유형과 사용자 지정 값을 제공합니다. `ValueType`이(가) `CUSTOM`인 경우, `Value` 필드를 비워둘 수 없습니다. 제어가 지원하는 파라미터를 요청에서 생략해도 해당 파라미터는 현재 값을 유지합니다. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API를 호출하여 제어에 지원되는 파라미터, 데이터 유형 및 유효한 값을 찾을 수 있습니다.

**기존 구성 정책에서 제어 파라미터 값을 사용자 지정하려면**

1. 홈 리전의 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API를 호출합니다.

1. `Identifier` 필드에는 업데이트하려는 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

1. `SecurityControlCustomParameters` 객체에는 사용자 지정하려는 각 제어의 식별자를 입력합니다.

1. `Parameters` 객체에는 사용자 지정하려는 각 파라미터의 이름을 입력합니다. 사용자 지정하는 각 파라미터의 경우, `ValueType`에 대해 `CUSTOM`을(를) 입력합니다. `Value`에는 파라미터의 데이터 유형과 사용자 지정 값을 제공합니다. 제어가 지원하는 파라미터를 요청에서 생략해도 해당 파라미터는 현재 값을 유지합니다. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API를 호출하여 제어에 지원되는 파라미터, 데이터 유형 및 유효한 값을 찾을 수 있습니다.

예를 들어 다음 AWS CLI 명령은의 `daysToExpiration` 파라미터에 대한 사용자 지정 값을 사용하여 새 구성 정책을 생성합니다`ACM.1`. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## 단일 계정 및 리전의 제어 파라미터 사용자 지정
<a name="customize-control-parameters-local-config"></a>

중앙 구성을 사용하지 않거나 자체 관리형 계정이 있는 경우, 한 번에 한 리전의 계정에 대한 제어 파라미터를 사용자 지정할 수 있습니다.

원하는 방법을 선택하고 단계에 따라 제어 파라미터를 사용자 지정하세요. 변경 사항은 현재 리전의 계정에만 적용됩니다. 추가 리전의 제어 파라미터를 사용자 지정하려면 파라미터를 사용자 지정하려는 각 추가 계정 및 리전에서 다음 단계를 반복합니다. 동일한 제어가 리전마다 다른 파라미터 값을 사용할 수 있습니다.

------
#### [ Security Hub CSPM console ]

**하나의 계정 및 리전의 제어 파라미터 값을 사용자 지정하려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **제어**를 선택합니다. 테이블에서 사용자 지정 파라미터를 지원하고 파라미터를 변경하고자 하는 제어를 선택합니다. **사용자 지정 파라미터** 열에는 사용자 지정 파라미터를 지원하는 제어가 표시됩니다.

1. 제어의 세부 정보 페이지에서 **파라미터** 탭을 선택한 다음 **편집**을 선택합니다.

1. 변경하고자 하는 파라미터를 지정합니다.

1. **변경 사유** 섹션에서 파라미터를 사용자 지정하는 이유를 선택할 수도 있습니다.

1. **저장**을 선택합니다.

------
#### [ Security Hub CSPM API ]

**하나의 계정 및 리전의 제어 파라미터 값을 사용자 지정하려면(API)**

1. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API를 호출합니다.

1. `SecurityControlId`에 사용자 지정하려는 제어의 ID를 입력합니다.

1. `Parameters` 객체에는 사용자 지정하려는 각 파라미터의 이름을 입력합니다. 사용자 지정하는 각 파라미터의 경우, `ValueType`에 대해 `CUSTOM`을(를) 입력합니다. `Value`에는 파라미터의 데이터 유형과 사용자 지정 값을 제공합니다. 제어가 지원하는 파라미터를 요청에서 생략해도 해당 파라미터는 현재 값을 유지합니다. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API를 호출하여 제어에 지원되는 파라미터, 데이터 유형 및 유효한 값을 찾을 수 있습니다.

1. 필요에 따라 `LastUpdateReason`에서 제어 파라미터를 사용자 지정하는 이유를 입력합니다.

예를 들어 다음 AWS CLI 명령은의 `daysToExpiration` 파라미터에 대한 사용자 지정 값을 정의합니다`ACM.1`. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# 기본 제어 파라미터 값으로 되돌리기
<a name="revert-default-parameter-values"></a>

제어 파라미터는 AWS Security Hub CSPM이 정의하는 기본값을 가질 수 있습니다. 가끔, Security Hub CSPM이 파라미터의 기본값을 업데이트하여 진화하는 보안 모범 사례를 반영할 수 있습니다. 제어 파라미터에 사용자 지정 값을 지정하지 않은 경우, 제어는 해당 업데이트를 자동으로 추적하고 새로운 기본값을 사용합니다.

제어의 기본 파라미터 값을 사용하도록 되돌릴 수 있습니다. 되돌리기 지침은 Security Hub CSPM에서 [중앙 구성](central-configuration-intro.md)을 사용하는지 여부에 따라 달라집니다. 중앙 구성은 위임된 Security Hub CSPM 관리자가 AWS 리전, 계정 및 조직 단위(OUs.

**참고**  
모든 제어 파라미터에 Security Hub CSPM 기본값이 있는 것은 아닙니다. 이러한 경우, `ValueType`을 `DEFAULT`로 설정하면 Security Hub CSPM이 사용하는 특정 기본값이 없습니다. 대신, Security Hub CSPM은 사용자 지정 값이 없는 경우 파라미터를 무시합니다.

## 다중 계정 및 리전의 기본 제어 파라미터로 되돌리려면
<a name="revert-default-parameter-values-central-config"></a>

중앙 구성을 사용하는 경우, 홈 계정 및 연결된 리전의 다중의 중앙 관리형 계정 및 OU에 대한 제어 파라미터를 되돌릴 수 있습니다.

원하는 방법을 선택하고 단계에 따라 중앙 구성을 사용하여 다중 계정 및 리전의 기본 파라미터 값으로 되돌리세요.

------
#### [ Security Hub CSPM console ]

**다중 계정 및 리전의 기본 제어 파라미터 값으로 되돌리려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

   홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.

1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.

1. **정책** 탭을 선택합니다.

1. 정책을 선택한 다음 **편집**을 선택합니다.

1. **사용자 지정 정책**의 **제어** 섹션에는 사용자 지정 파라미터를 지정한 제어 목록이 표시됩니다.

1. 되돌릴 파라미터 값이 하나 이상 있는 제어를 찾습니다. 그런 다음 **제거**를 선택하여 기본값으로 되돌립니다.

1. **계정** 섹션에서 정책을 적용할 계정 또는 OU를 확인합니다.

1. **다음**을 선택합니다.

1. 변경 내용을 검토하고 올바른지 확인합니다. 완료하면 **정책 저장 및 적용**을 선택합니다. 홈 리전 및 연결된 모든 리전에서 이 작업은 이 구성 정책과 연결된 계정 및 OU의 기존 구성 설정보다 우선합니다. 계정과 OU는 상위로부터의 직접 적용 또는 상속을 통해 구성 정책에 연결할 수 있습니다.

------
#### [ Security Hub CSPM API ]

**다중 계정 및 리전의 기본 제어 파라미터 값으로 되돌리려면(API)**

1. 홈 리전의 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API를 호출합니다.

1. `Identifier` 필드에는 업데이트하려는 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

1. `SecurityControlCustomParameters` 객체에는 하나 이상의 파라미터를 되돌리려는 각 제어의 식별자를 입력합니다.

1. `Parameters` 객체에서 되돌리려는 각 파라미터에 대해 `ValueType` 필드에 `DEFAULT`을(를) 입력합니다. `ValueType`이(가) `DEFAULT`(으)로 설정된 경우, `Value` 필드에 값을 입력할 필요가 없습니다. 요청에 값이 포함된 경우, Security Hub CSPM은 해당 값을 무시합니다. 제어가 지원하는 파라미터를 요청에서 생략해도 해당 파라미터는 현재 값을 유지합니다.

**주의**  
`SecurityControlCustomParameters` 필드에서 제어 객체를 생략하면 Security Hub CSPM은 제어에 대한 모든 사용자 지정 파라미터를 기본값으로 되돌립니다. `SecurityControlCustomParameters`의 목록이 완전히 비어 있으면 모든 제어의 사용자 지정 파라미터를 기본값으로 되돌립니다.

예를 들어 다음 AWS CLI 명령은에 대한 `daysToExpiration` 제어 파라미터를 지정된 구성 정책의 기본값`ACM.1`으로 되돌립니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## 단일 계정 및 리전에서 기본 파라미터 값으로 되돌리기
<a name="revert-default-parameter-values-local-config"></a>

중앙 구성을 사용하지 않거나 자체 관리형 계정이 있는 경우, 한 번에 한 리전의 계정에 대한 기본 파라미터 값을 사용하도록 되돌릴 수 있습니다.

원하는 방법을 선택하고 단계에 따라 단일 리전 계정의 기본 파라미터 값으로 되돌리세요. 추가 리전의 기본 파라미터 값으로 되돌리려면 각 추가 리전에서 이 단계를 반복하세요.

**참고**  
Security Hub CSPM을 비활성화하면 사용자 지정 제어 파라미터가 재설정됩니다. 나중에 Security Hub CSPM을 다시 활성화하면 모든 제어가 기본 파라미터 값을 사용하여 시작합니다.

------
#### [ Security Hub CSPM console ]

**하나의 계정 및 리전의 기본 제어 파라미터 값으로 되돌리려면(콘솔)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **제어**를 선택합니다. 기본 파라미터 값으로 재설정할 제어를 선택합니다.

1. `Parameters` 탭에서 제어 파라미터 옆의 **사용자 지정**을 선택합니다. 그런 다음 **사용자 지정 제거**를 선택합니다. 이제 이 파라미터는 기본 Security Hub CSPM 값을 사용하며 기본값에 대한 향후 업데이트를 추적합니다.

1. 되돌리려는 각 파라미터 값에 대해 이전 단계를 반복합니다.

------
#### [ Security Hub CSPM API ]

**하나의 계정 및 리전의 기본 제어 파라미터 값으로 되돌리려면(API)**

1. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API를 호출합니다.

1. `SecurityControlId`에서 파라미터를 되돌리려는 제어의 ARN 또는 ID를 입력합니다.

1. `Parameters` 객체에서 되돌리려는 각 파라미터에 대해 `ValueType` 필드에 `DEFAULT`을(를) 입력합니다. `ValueType`이(가) `DEFAULT`(으)로 설정된 경우, `Value` 필드에 값을 입력할 필요가 없습니다. 요청에 값이 포함된 경우, Security Hub CSPM은 해당 값을 무시합니다.

1. 필요에 따라 `LastUpdateReason`에서 기본 파라미터 값으로 되돌릴 이유를 입력합니다.

예를 들어 다음 AWS CLI 명령은에 대한 `daysToExpiration` 제어 파라미터를 기본값`ACM.1`으로 되돌립니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# 제어 파라미터 변경 상태 확인
<a name="parameter-update-status"></a>

제어 파라미터를 사용자 지정하거나 기본값으로 되돌리려고 할 때 원하는 변경 사항이 효과적인지 확인할 수 있습니다. 이렇게 하면 제어가 예상대로 작동하고 의도한 보안 가치를 제공할 수 있습니다. 파라미터 업데이트가 실패하는 경우, Security Hub CSPM은 파라미터의 현재 값을 유지합니다.

파라미터 업데이트가 성공했는지 확인하려면 Security Hub CSPM 콘솔에서 제어의 세부 정보를 검토할 수 있습니다. 콘솔의 탐색 창에서 **제어**를 선택합니다. 그런 다음 컨트롤을 선택하여 세부 정보를 표시합니다. **파라미터** 탭은 파라미터의 변경 상태를 보여줍니다.

프로그래밍 방식으로, 파라미터 업데이트 요청이 유효한 경우, [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) 작업에 대한 응답으로 `UpdateStatus` 필드 값은 `UPDATING`입니다. 즉, 업데이트는 유효했지만 업데이트된 파라미터 값이 아직 모든 조사 결과에 포함되어 있지 않을 수 있습니다. `UpdateState`의 값이 `READY`로 변경되면 Security Hub CSPM은 제어의 보안 검사를 실행할 때 업데이트된 제어 파라미터 값을 사용합니다. 조사 결과에는 업데이트된 파라미터 값이 포함됩니다.

이 `UpdateSecurityControl` 작업은 잘못된 파라미터 값에 대한 `InvalidInputException` 응답을 반환합니다. 응답은 실패 이유에 대한 추가 세부 정보를 제공합니다. 예를 들어, 파라미터의 유효 범위를 벗어나는 값을 지정했을 수 있습니다. 또는 올바른 데이터 유형을 사용하지 않는 값을 지정했을 수 있습니다. 올바른 입력과 함께 요청을 다시 제출하세요.

파라미터 값을 업데이트하려고 할 때 내부 오류가 발생하면 Security Hub CSPM은 AWS Config 활성화한 경우 자동으로 재시도합니다. 자세한 내용은 [활성화 및 구성 전 고려 사항 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config) 단원을 참조하십시오.