기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 구성 정책 업데이트 구성 정책을 생성한 후 위임된 AWS Security Hub CSPM 관리자 계정은 정책 세부 정보 및 정책 연결을 업데이트할 수 있습니다. 정책 세부 정보가 업데이트되면 구성 정책에 연결된 계정이 업데이트된 정책을 자동으로 사용하기 시작합니다. 중앙 구성의 이점과 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요. 위임된 관리자는 다음 정책 설정을 업데이트할 수 있습니다. + Security Hub CSPM을 활성화하거나 비활성화합니다. + 하나 이상의 [보안 표준](standards-reference.md)을 활성화합니다. + 활성화된 표준 전반에서 어떤 [보안 제어](securityhub-controls-reference.md)를 사용할 수 있는지 표시합니다. 이를 위해 활성화해야 하는 특정 제어 목록을 제공할 수 있습니다. 그러면 Security Hub CSPM은 새로운 제어가 릴리스될 때 새로운 제어를 포함한 다른 모든 제어를 비활성화합니다. 또는 비활성화해야 하는 특정 제어의 목록을 제공할 수 있습니다. 그러면 Security Hub CSPM은 새로운 제어가 릴리스될 때 새로운 제어를 포함한 다른 모든 제어를 활성화합니다. + 사용 가능한 표준에서 사용할 수 있는 제어를 선택할 수 있도록 [파라미터를 사용자 지정](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)할 수도 있습니다. 원하는 방법을 선택하고 다음 단계에 따라 구성 정책을 업데이트하세요. **참고** 중앙 구성을 사용하는 경우, Security Hub CSPM은 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 활성화하도록 선택한 다른 제어는 사용 가능한 모든 리전에서 활성화됩니다. 이러한 제어에 대한 조사 결과를 한 리전으로만 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 끌 수 있습니다. 글로벌 리소스를 평가하는 활성화된 제어가 홈 리전에서 지원되지 않는 경우 Security Hub CSPM은 해당 제어가 지원되는 연결된 리전에서 제어를 활성화하려고 시도합니다. 중앙 구성을 사용하는 경우, 홈 리전 또는 연결된 리전에서 사용할 수 없는 제어에 대한 적용 범위가 부족합니다. 글로벌 리소스와 관련된 제어 목록은 [글로벌 리소스를 사용하는 제어](controls-to-disable.md#controls-to-disable-global-resources) 섹션을 참조하세요. ------ #### [ Console ] **구성 정책을 업데이트하려면** 1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다. 홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다. 1. 탐색 창에서 **설정** 및 **구성**을 선택합니다. 1. **정책** 탭을 선택합니다. 1. 편집할 구성 정책을 선택하고 **편집**을 선택합니다. 원하는 경우, 정책 설정을 편집합니다. 정책 설정을 변경하지 않으려면 이 섹션을 그대로 둡니다. 1. **다음**을 선택합니다. 원하는 경우, 정책 연결을 편집합니다. 정책 연결을 변경하지 않으려면 이 섹션을 그대로 둡니다. 정책을 업데이트할 때, 최대 15개의 대상(계정, OU 또는 루트)과 연결하거나 연결 해제할 수 있습니다. 1. **다음**을 선택합니다. 1. 변경 사항을 검토하고 **저장 및 적용**을 선택합니다. 홈 리전 및 연결된 리전에서 이 작업은 이 구성 정책과 연결된 계정의 기존 구성 설정보다 우선 적용됩니다. 계정은 적용 또는 상위 노드로부터의 상속을 통해 구성 정책에 연결될 수 있습니다. ------ #### [ API ] **구성 정책을 업데이트하려면** 1. 구성 정책의 설정을 업데이트하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API를 간접적으로 호출합니다. 1. 업데이트할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다. 1. `ConfigurationPolicy` 아래 필드에 업데이트된 값을 입력합니다. 필요에 따라 업데이트 이유를 입력할 수도 있습니다. 1. 이 구성 정책에 새로운 연결을 추가하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API를 간접적으로 호출합니다. 현재 연결을 하나 이상 제거하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API를 간접적으로 호출합니다. 1. `ConfigurationPolicyIdentifier` 필드에는 연결을 업데이트하려는 구성 정책의 ARN 또는 ID를 입력합니다. 1. `Target` 필드에 연결하거나 연결 해제하려는 계정, OU 또는 루트 ID를 입력합니다. 이 작업은 지정된 OU 또는 계정에 대한 이전 정책 연결을 무시합니다. **참고** `UpdateConfigurationPolicy` API를 간접적으로 호출하면 Security Hub CSPM은 `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` 및 `SecurityControlCustomParameters` 필드의 전체 목록 대체를 수행합니다. 이 API를 호출할 때마다 활성화하려는 표준의 전체 목록과 활성화 또는 비활성화하고 파라미터를 사용자 지정하려는 제어의 전체 목록을 제공하세요. **구성 정책을 업데이트하기 위한 API 요청 예제:** ``` { "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Description": "Updated configuration policy", "UpdatedReason": "Disabling CloudWatch.1", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2", "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } } ``` ------ #### [ AWS CLI ] **구성 정책을 업데이트하려면** 1. 구성 정책의 설정을 업데이트하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) 명령을 실행합니다. 1. 업데이트할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다. 1. `configuration-policy` 아래 필드에 업데이트된 값을 입력합니다. 필요에 따라 업데이트 이유를 입력할 수도 있습니다. 1. 이 구성 정책에 새로운 연결을 추가하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 명령을 실행합니다. 현재 연결을 하나 이상 제거하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 명령을 실행합니다. 1. `configuration-policy-identifier` 필드에는 연결을 업데이트하려는 구성 정책의 ARN 또는 ID를 입력합니다. 1. `target` 필드에 연결하거나 연결 해제하려는 계정, OU 또는 루트 ID를 입력합니다. 이 작업은 지정된 OU 또는 계정에 대한 이전 정책 연결을 무시합니다. **참고** `update-configuration-policy` 명령을 실행하면 Security Hub CSPM은 `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` 및 `SecurityControlCustomParameters` 필드의 전체 목록 대체를 수행합니다. 이 명령을 실행할 때마다 활성화하려는 표준의 전체 목록과 활성화 또는 비활성화하고 파라미터를 사용자 지정하려는 제어의 전체 목록을 제공하세요. **구성 정책을 업데이트하기 위한 명령 예제:** ``` aws securityhub update-configuration-policy \ --region us-east-1 \ --identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --description "Updated configuration policy" \ --updated-reason "Disabling CloudWatch.1" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' ``` ------ `StartConfigurationPolicyAssociation` API는 `AssociationStatus`(이)라는 필드를 반환합니다. 이 필드는 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. `PENDING`에서 `SUCCESS` 또는 `FAILURE`(으)로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 연결 상태에 대한 자세한 내용은 [구성 정책의 연결 상태 검토](view-policy.md#configuration-association-status) 섹션을 참조하세요.