기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 표준에서 제어 활성화
<a name="enable-controls-overview"></a>

제어가 적용되는 모든 표준에서 AWS Security Hub CSPM 제어를 활성화하는 것이 좋습니다. 통합 제어 조사 결과를 켜면 제어가 하나 이상의 표준에 속하더라도 제어 검사당 하나의 조사 결과를 받게 됩니다.

## 다중 계정, 다중 리전 환경에서의 교차 표준 활성화
<a name="enable-controls-all-standards-central-configuration"></a>

여러 AWS 계정 및에서 보안 제어를 활성화하려면 위임된 Security Hub CSPM 관리자 계정에 로그인하고 [중앙 구성을](central-configuration-intro.md) 사용해야 AWS 리전합니다.

중앙 구성을 사용하는 경우, 위임된 관리자는 사용 가능한 표준에 대해 지정된 제어를 활성화하는 Security Hub CSPM 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정 및 OU(조직 단위) 또는 루트와 연결할 수 있습니다. 구성 정책은 홈 리전(집계 리전이라고도 함) 및 연결된 모든 리전에 적용됩니다.

구성 정책은 사용자 지정을 제공합니다. 예를 들어, 한 OU에서는 모든 제어를 활성화하고 다른 OU에서는 Amazon Elastic Compute Cloud(EC2) 제어만 활성화하도록 선택할 수 있습니다. 세분화 수준은 조직의 보안 범위에 대한 의도한 목표에 따라 달라집니다. 표준 전반에 걸쳐 지정된 제어를 활성화하는 구성 정책을 만드는 방법에 대한 지침은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.

**참고**  
위임된 관리자는 [서비스 관리형 표준을 제외한 모든 표준에서 제어를 관리하는 구성 정책을 생성할 수 있습니다 AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html). 이 표준에 대한 제어는 AWS Control Tower 서비스에서 구성해야 합니다.

일부 계정에서 위임된 관리자가 아닌 자체 제어를 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 제어를 구성해야 합니다.

## 단일 계정 및 리전에서 표준 간 활성화
<a name="enable-controls-all-standards"></a>

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우, 구성 정책을 사용하여 다중 계정 및 리전에서 제어를 중앙에서 활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 제어를 활성화할 수 있습니다.

------
#### [ Security Hub CSPM console ]

**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **제어**를 선택합니다.

1. **비활성화** 탭을 선택합니다.

1. 제어 옆에 있는 옵션을 선택합니다.

1. **제어 활성화**를 선택합니다(이 옵션은 이미 활성화된 제어에는 표시되지 않습니다).

1. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

------
#### [ Security Hub CSPM API ]

**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API를 호출합니다. 보안 제어 ID를 제공합니다.

   **요청 예제:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API를 호출합니다. 제어가 활성화되지 않은 표준의 Amazon 리소스 이름(ARN)을 제공합니다. 표준 ARN을 가져오려면 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)을(를) 실행하세요.

1. `AssociationStatus` 파라미터를 `ENABLED`와(과) 동일하게 설정합니다. 이미 활성화된 제어 대해 다음 단계를 수행하면 API가 HTTP 상태 코드 200 응답을 반환합니다.

   **요청 예제:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

------
#### [ AWS CLI ]

**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 명령을 실행합니다. 보안 제어 ID를 제공합니다.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 명령을 실행합니다. 제어가 활성화되지 않은 표준의 Amazon 리소스 이름(ARN)을 제공합니다. 표준 ARN을 얻으려면 `describe-standards` 명령을 실행합니다.

1. `AssociationStatus` 파라미터를 `ENABLED`와(과) 동일하게 설정합니다. 이미 활성화된 제어에 대해 다음 단계를 수행하면 명령은 HTTP 상태 코드 200 응답을 반환합니다.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

------