기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Hub CSPM에서 제어 활성화
AWS Security Hub CSPM에서 제어는 조직이 정보의 기밀성, 무결성 및 가용성을 보호하는 데 도움이 되는 보안 표준 내의 보호 장치입니다. 각 Security Hub CSPM 제어는 특정 AWS 리소스와 관련이 있습니다. 표준에서 제어를 활성화하면 Security Hub CSPM이 제어에 대한 보안 검사를 실행하고 제어에 대한 조사 결과를 생성하기 시작합니다. 또한 Security Hub CSPM은 보안 점수를 계산할 때 활성화된 모든 제어를 고려합니다.
적용되는 모든 보안 표준에서 제어를 활성화하도록 선택할 수 있습니다. 또는 여러 표준에서 활성화 상태를 다르게 구성할 수 있습니다. 제어 활성화 및 비활성화를 선택하여 제어의 활성화 상태를 사용 가능한 모든 표준에 맞게 조정하는 것이 좋습니다. 이것이 적용되는 모든 표준에서 제어를 활성화하는 방법에 대한 지침은 [표준에서 제어 활성화](enable-controls-overview.md) 섹션을 참조하세요. 모든 표준에서 제어를 활성화하는 방법에 대한 지침은 [특정 표준에서 제어 활성화하기](controls-configure.md) 섹션을 참조하세요.
교차 리전 집계를 활성화하고 집계 영역에 로그인하면 Security Hub CSPM 콘솔에는 하나 이상의 연결된 리전에서 사용할 수 있는 제어가 표시됩니다. 연결된 리전에서는 제어를 사용할 수 있지만 집계 영역에서는 사용할 수 없는 경우, 집계 영역에서 해당 제어를 활성화하거나 비활성화할 수 없습니다.
Security Hub CSPM 콘솔, Security Hub CSPM API 또는를 사용하여 각 리전에서 제어를 활성화 및 비활성화할 수 있습니다 AWS CLI.
제어 활성화 및 비활성화 지침은 [중앙 구성](central-configuration-intro.md) 사용 여부에 따라 달라집니다. 이 주제에서는 차이점을 설명합니다. Security Hub CSPM 및를 통합하는 사용자는 중앙 구성을 사용할 수 있습니다 AWS Organizations. 다중 계정, 다중 리전 환경에서 제어를 활성화 또는 비활성화하는 프로세스를 단순화하려면 중앙 구성을 사용하는 것이 좋습니다. 중앙 구성을 사용하는 경우, 구성 정책을 사용하여 여러 계정 및 리전에서 제어를 활성화할 수 있습니다. 중앙 구성을 사용하지 않는 경우, 각 계정 및 리전에서 개별적으로 Security Hub를 구성해야 합니다.
# 표준에서 제어 활성화
제어가 적용되는 모든 표준에서 AWS Security Hub CSPM 제어를 활성화하는 것이 좋습니다. 통합 제어 조사 결과를 켜면 제어가 하나 이상의 표준에 속하더라도 제어 검사당 하나의 조사 결과를 받게 됩니다.
## 다중 계정, 다중 리전 환경에서의 교차 표준 활성화
여러 AWS 계정 및에서 보안 제어를 활성화하려면 위임된 Security Hub CSPM 관리자 계정에 로그인하고 [중앙 구성을](central-configuration-intro.md) 사용해야 AWS 리전합니다.
중앙 구성을 사용하는 경우, 위임된 관리자는 사용 가능한 표준에 대해 지정된 제어를 활성화하는 Security Hub CSPM 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정 및 OU(조직 단위) 또는 루트와 연결할 수 있습니다. 구성 정책은 홈 리전(집계 리전이라고도 함) 및 연결된 모든 리전에 적용됩니다.
구성 정책은 사용자 지정을 제공합니다. 예를 들어, 한 OU에서는 모든 제어를 활성화하고 다른 OU에서는 Amazon Elastic Compute Cloud(EC2) 제어만 활성화하도록 선택할 수 있습니다. 세분화 수준은 조직의 보안 범위에 대한 의도한 목표에 따라 달라집니다. 표준 전반에 걸쳐 지정된 제어를 활성화하는 구성 정책을 만드는 방법에 대한 지침은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.
**참고**
위임된 관리자는 [서비스 관리형 표준을 제외한 모든 표준에서 제어를 관리하는 구성 정책을 생성할 수 있습니다 AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html). 이 표준에 대한 제어는 AWS Control Tower 서비스에서 구성해야 합니다.
일부 계정에서 위임된 관리자가 아닌 자체 제어를 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 제어를 구성해야 합니다.
## 단일 계정 및 리전에서 표준 간 활성화
중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우, 구성 정책을 사용하여 다중 계정 및 리전에서 제어를 중앙에서 활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 제어를 활성화할 수 있습니다.
------
#### [ Security Hub CSPM console ]
**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **제어**를 선택합니다.
1. **비활성화** 탭을 선택합니다.
1. 제어 옆에 있는 옵션을 선택합니다.
1. **제어 활성화**를 선택합니다(이 옵션은 이미 활성화된 제어에는 표시되지 않습니다).
1. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.
------
#### [ Security Hub CSPM API ]
**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면**
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API를 호출합니다. 보안 제어 ID를 제공합니다.
**요청 예제:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API를 호출합니다. 제어가 활성화되지 않은 표준의 Amazon 리소스 이름(ARN)을 제공합니다. 표준 ARN을 가져오려면 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)을(를) 실행하세요.
1. `AssociationStatus` 파라미터를 `ENABLED`와(과) 동일하게 설정합니다. 이미 활성화된 제어 대해 다음 단계를 수행하면 API가 HTTP 상태 코드 200 응답을 반환합니다.
**요청 예제:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
```
1. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.
------
#### [ AWS CLI ]
**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면**
1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 명령을 실행합니다. 보안 제어 ID를 제공합니다.
```
aws securityhub --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
```
1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 명령을 실행합니다. 제어가 활성화되지 않은 표준의 Amazon 리소스 이름(ARN)을 제공합니다. 표준 ARN을 얻으려면 `describe-standards` 명령을 실행합니다.
1. `AssociationStatus` 파라미터를 `ENABLED`와(과) 동일하게 설정합니다. 이미 활성화된 제어에 대해 다음 단계를 수행하면 명령은 HTTP 상태 코드 200 응답을 반환합니다.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
```
1. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.
------
# 특정 표준에서 제어 활성화하기
AWS Security Hub CSPM에서 표준을 활성화하면 해당 표준에 적용되는 모든 제어가 해당 표준에서 자동으로 활성화됩니다(이에 대한 예외는 서비스 관리형 표준). 그런 다음 표준 내에서 특정 제어를 비활성화하고 다시 활성화할 수 있습니다. 하지만 제어의 활성화 상태를 활성화된 모든 표준에 맞게 조정하는 것이 좋습니다. 모든 표준에서 제어를 활성화하는 방법에 대한 지침은 [표준에서 제어 활성화](enable-controls-overview.md) 섹션을 참조하세요.
표준의 세부 정보 페이지에는 표준에 적용할 수 있는 제어 목록과 해당 표준에서 현재 활성화되고 비활성화된 제어에 대한 정보가 포함되어 있습니다.
또한 표준 세부 정보 페이지에서 특정 표준의 제어를 활성화할 수도 있습니다. 각 AWS 계정 및에서 특정 표준의 제어를 개별적으로 활성화해야 합니다 AWS 리전. 특정 표준에서 제어를 활성화하면 현재 계정 및 리전에만 영향을 미칩니다.
표준에서 제어를 활성화하려면 먼저 제어가 적용되는 표준을 하나 이상 활성화해야 합니다. 표준을 활성화하는 방법에 대한 지침은 [보안 표준 활성화](enable-standards.md) 섹션을 참조하세요. 하나 이상의 표준에서 제어를 활성화하면 Security Hub CSPM은 해당 제어에 대한 조사 결과를 생성하기 시작합니다. Security Hub CSPM은 전체 보안 점수 및 표준 보안 점수 계산에 [제어 상태](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values)를 포함합니다. 여러 표준에서 제어를 활성화하더라도 통합 제어 조사 결과를 켜면 표준 전반에 걸쳐 보안 검사당 단일 조사 결과를 받게 됩니다. 자세한 내용은 [통합 제어 조사 결과](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)를 참조하세요.
표준에서 제어를 활성화하려면 현재 리전에서 제어를 사용할 수 있어야 합니다. 자세한 내용은 [리전별 제어 가용성](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support) 섹션을 참조하세요.
다음 단계에 따라 *특정* 표준에서 Security Hub CSPM 제어를 활성화합니다. 다음 단계 대신 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) API 작업을 사용하여 특정 표준에서 제어를 활성화할 수도 있습니다. *모든* 표준에서 제어를 활성화하는 방법에 대한 지침은 [단일 계정 및 리전에서 표준 간 활성화](enable-controls-overview.md#enable-controls-all-standards) 섹션을 참조하세요.
------
#### [ Security Hub CSPM console ]
**특정 표준에서 제어를 활성화하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **보안 표준**을 선택합니다.
1. 관련 표준의 **결과 보기**를 선택합니다.
1. 제어를 선택합니다.
1. **제어 활성화**를 선택합니다(이 옵션은 이미 활성화된 제어에는 표시되지 않습니다). **활성화**를 선택하여 확인합니다.
------
#### [ Security Hub CSPM API ]
**특정 표준에서 제어를 활성화하려면**
1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`을(를) 실행하고 표준 ARN을 입력하여 특정 표준에 사용할 수 있는 제어 목록을 가져옵니다. 표준 ARN을 얻으려면 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)을(를) 실행하세요. 이 API는 표준별 제어 ID가 아니라 표준에 구애받지 않는 보안 제어 ID를 반환합니다.
**요청 예제:**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`을(를) 실행하고 특정 제어 ID를 입력하여 각 표준에서 제어의 현재 활성화 상태를 반환하세요.
**요청 예제:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`을(를) 실행합니다. 제어를 활성화하려는 표준의 ARN을 입력합니다.
1. `AssociationStatus` 파라미터를 `ENABLED`와(과) 동일하게 설정합니다.
**요청 예제:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
```
------
#### [ AWS CLI ]
**특정 표준에서 제어를 활성화하려면**
1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` 명령을 실행하고 표준 ARN을 입력하여 특정 표준에 사용할 수 있는 제어 목록을 가져옵니다. 표준 ARN을 얻으려면 `describe-standards`을(를) 실행하세요. 이 명령은 표준별 제어 ID가 아니라 표준에 구애받지 않는 보안 제어 ID를 반환합니다.
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` 명령을 실행하고 특정 제어 ID를 제공하여 각 표준에서 제어의 현재 활성화 상태를 반환합니다.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 명령을 실행합니다. 제어를 활성화하려는 표준의 ARN을 입력합니다.
1. `AssociationStatus` 파라미터를 `ENABLED`와(과) 동일하게 설정합니다.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
```
------
# 활성화된 표준에서 자동으로 새로운 제어 활성화
AWS Security Hub CSPM은 정기적으로 새 컨트롤을 릴리스하고 하나 이상의 표준에 추가합니다. 활성화된 표준에서 새로운 제어를 자동으로 활성화할 것인지를 선택할 수 있습니다.
새로운 보안 제어를 자동으로 활성화하려면 Security Hub CSPM 중앙 구성을 사용하는 것이 좋습니다. 표준 전반에 걸쳐 비활성화할 제어 목록을 포함하는 구성 정책을 만들 수 있습니다. 새롭게 릴리스된 제어를 포함한 다른 모든 제어는 기본적으로 활성화됩니다. 또는 표준 전반에 걸쳐 활성화할 제어 목록을 포함하는 정책을 만들 수 있습니다. 새롭게 릴리스된 제어를 포함한 다른 모든 제어는 기본적으로 비활성화됩니다. 자세한 내용은 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 단원을 참조하십시오.
활성화하지 않은 표준에 새로운 제어를 추가하면 Security Hub CSPM에서 새로운 제어가 활성화되지 않습니다.
다음 지침은 중앙 구성을 사용하지 않는 경우에만 적용됩니다.
원하는 액세스 방법을 선택하고 단계에 따라 활성화된 표준에서 새로운 제어를 자동으로 활성화하는 단계를 따릅니다.
**참고**
다음 지침을 사용하여 새 제어를 자동으로 활성화하면 릴리스 직후 콘솔에서 또는 프로그래밍 방식으로 제어와 상호 작용할 수 있습니다. 하지만 자동으로 활성화된 제어의 임시 기본 상태는 **비활성화됨**입니다. Security Hub CSPM이 제어 릴리스를 처리하고 계정에서 제어를 **활성화됨**으로 지정하는 데 최대 며칠이 걸릴 수 있습니다. 이 처리 기간 도중에 제어를 수동으로 활성화하거나 비활성화할 수 있으며, Security Hub CSPM은 자동 제어 활성화가 켜져 있는지 여부에 관계없이 해당 지정을 유지합니다.
------
#### [ Security Hub CSPM console ]
**새로운 제어를 자동으로 활성화하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택한 다음 **일반** 탭을 선택합니다.
1. **제어**에서 **편집**을 선택합니다.
1. **활성화된 표준에서 새로운 제어 자동 활성화**를 켜세요.
1. **저장**을 선택합니다.
------
#### [ Security Hub CSPM API ]
**새로운 제어를 자동으로 활성화하려면**
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)을(를) 실행합니다.
1. 활성화된 표준에 대해 새로운 제어를 자동으로 활성화하려면 `AutoEnableControls`을(를) `true`(으)로 설정합니다. 새로운 제어를 자동으로 활성화하지 않으려면 `AutoEnableControls`을(를) false로 설정합니다.
------
#### [ AWS CLI ]
**새로운 제어를 자동으로 활성화하려면**
1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) 명령을 실행합니다.
1. 활성화된 표준에 대해 새로운 제어를 자동으로 활성화하려면 `--auto-enable-controls`을(를) 지정합니다. 새로운 제어를 자동으로 활성화하지 않으려면 `--no-auto-enable-controls`을(를) 지정합니다.
```
aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
```
**명령 예제:**
```
aws securityhub update-security-hub-configuration --auto-enable-controls
```
------
새로운 제어를 자동으로 활성화하지 않는 경우, 수동으로 활성화해야 합니다. 지침은 [Security Hub CSPM에서 제어 활성화](securityhub-standards-enable-disable-controls.md) 섹션을 참조하세요.