Criação e associação de políticas de configuração - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação e associação de políticas de configuração

A conta de AWS Security Hub administrador delegado pode criar políticas de configuração que especificam como o Security Hub, os padrões e os controles são configurados em contas e unidades organizacionais especificadas (OUs). Uma política de configuração entra em vigor somente depois que o administrador delegado a associa a pelo menos uma conta ou unidade organizacional (OUs) ou à raiz. O administrador delegado também pode associar uma configuração autogerenciada às contas ou à raiz. OUs

Se essa for a primeira vez que você está criando uma política de configuração, é recomendável analisar primeiro Como as políticas de configuração funcionam no Security Hub.

Escolha seu método de acesso preferido e siga as etapas para criar e associar uma política de configuração ou configuração autogerenciada. Ao usar o console do Security Hub, você pode associar uma configuração a várias contas ou ao OUs mesmo tempo. Ao usar o Security Hub API ou AWS CLI, você pode associar uma configuração a somente uma conta ou OU em cada solicitação.

nota

Se você usar a configuração central, o Security Hub desativará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região de origem. Outros controles que você escolhe ativar por meio de uma política de configuração são habilitados em todas as regiões em que estão disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem. Ao usar a configuração central, você não tem cobertura para um controle que não está disponível na região de origem ou em qualquer uma das regiões vinculadas. Para obter uma lista de controles que envolvem recursos globais, consulteControles que usam recursos globais.

Security Hub console
Para criar e associar políticas de configuração

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.

  2. No painel de navegação, escolha Configuração e a guia Políticas. Em seguida, selecione Criar política.

  3. Na página Configurar organização, se for a primeira vez que você cria uma política de configuração, você verá três opções em Tipo de configuração. Se você já criou pelo menos uma política de configuração, verá somente a opção Política personalizada.

    • Escolha Usar a configuração AWS recomendada do Security Hub em toda a minha organização para usar nossa política recomendada. A política recomendada ativa o Security Hub em todas as contas da organização, ativa o padrão AWS Foundational Security Best Practices (FSBP) e ativa todos os FSBP controles novos e existentes. Os controles usam valores de parâmetros padrão.

    • Escolha Ainda não estou pronto para configurar para criar uma política de configuração mais tarde.

    • Escolha Política personalizada para criar uma política de configuração personalizada. Especifique se deseja habilitar ou desabilitar o Security Hub, quais padrões habilitar e quais controles habilitar em todos esses padrões. Opcionalmente, especifique valores de parâmetros personalizados para um ou mais controles habilitados que ofereçam suporte a parâmetros personalizados.

  4. Na seção Contas, escolha a quais contas de destino ou a raiz às quais você deseja que sua política de configuração se aplique. OUs

    • Escolha Todas as contas se quiser aplicar a política de configuração à raiz. Isso inclui todas as contas e OUs na organização que não têm outra política aplicada ou herdada.

    • Escolha Contas específicas se quiser aplicar a política de configuração a contas específicas ouOUs. Insira a conta IDs ou selecione as contas e a OUs partir da estrutura organizacional. Você pode aplicar a política a um máximo de 15 alvos (contas ou raiz) ao criá-la. OUs Para especificar um número maior, edite sua política após a criação e aplique-a a alvos adicionais.

    • Escolha Somente o administrador delegado para aplicar a política de configuração à conta atual do administrador delegado.

  5. Escolha Próximo.

  6. Na página Revisar e aplicar, revise os detalhes da configuração. Em seguida, escolha Criar política e aplicar. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas à política de configuração por meio de aplicação direta ou herança de um nó pai. As contas OUs secundárias e os alvos aplicados herdarão automaticamente essa política de configuração, a menos que sejam especificamente excluídas, autogerenciadas ou usem uma política de configuração diferente.

Security Hub API
Para criar e associar políticas de configuração

  1. Invoque o CreateConfigurationPolicyAPIda conta de administrador delegado do Security Hub na região de origem.

  2. Em Name, insira um nome exclusivo para a política de configuração. Opcionalmente, em Description, forneça uma descrição para a política de configuração.

  3. No campo ServiceEnabled, especifique se você deseja que o Security Hub seja habilitado ou desabilitado nesta política de configuração.

  4. No campo EnabledStandardIdentifiers, especifique quais padrões do Security Hub você deseja habilitar nesta política de configuração.

  5. No objeto SecurityControlsConfiguration, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher EnabledSecurityControlIdentifiers significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher DisabledSecurityControlIdentifiers significa que os controles especificados serão desabilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

  6. Opcionalmente, no campo SecurityControlCustomParameters, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça CUSTOM para o campo ValueType e o valor do parâmetro personalizado para o campo Value. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para obter mais informações, consulte Entendendo os parâmetros de controle no Security Hub.

  7. Para aplicar sua política de configuração às contas ouOUs, invoque a da conta StartConfigurationPolicyAssociationAPIde administrador delegado do Security Hub na região de origem.

  8. Para o ConfigurationPolicyIdentifier campo, forneça o Amazon Resource Name (ARN) ou o identificador universal exclusivo (UUID) da política. Os ARN e UUID são devolvidos pelo CreateConfigurationPolicyAPI. Para uma configuração autogerenciada, o ConfigurationPolicyIdentifier campo é igual a. SELF_MANAGED_SECURITY_HUB

  9. No campo Target, forneça o ID da OU, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um alvo em cada API solicitação. As contas secundárias e OUs do alvo selecionado herdarão automaticamente essa política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

Exemplo de API solicitação para criar uma política de configuração:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Exemplo de API solicitação para associar uma política de configuração:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Para criar e associar políticas de configuração

  1. Execute o comando create-configuration-policy a partir da conta de administrador delegado do Security Hub na região inicial.

  2. Em name, insira um nome exclusivo para a política de configuração. Opcionalmente, em description, forneça uma descrição para a política de configuração.

  3. No campo ServiceEnabled, especifique se você deseja que o Security Hub seja habilitado ou desabilitado nesta política de configuração.

  4. No campo EnabledStandardIdentifiers, especifique quais padrões do Security Hub você deseja habilitar nesta política de configuração.

  5. No campo SecurityControlsConfiguration, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher EnabledSecurityControlIdentifiers significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher DisabledSecurityControlIdentifiers significa que os controles especificados serão desabilitados. Outros controles que se apliquem aos seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

  6. Opcionalmente, no campo SecurityControlCustomParameters, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça CUSTOM para o campo ValueType e o valor do parâmetro personalizado para o campo Value. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para obter mais informações, consulte Entendendo os parâmetros de controle no Security Hub.

  7. Para aplicar sua política de configuração às contas ouOUs, execute o start-configuration-policy-associationcomando na conta de administrador delegado do Security Hub na região de origem.

  8. Para o configuration-policy-identifier campo, forneça o Amazon Resource Name (ARN) ou ID da política de configuração. Isso ARN e o ID são retornados pelo create-configuration-policy comando.

  9. No campo target, forneça o ID da OU, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino a cada vez que você executa o comando. Os filhos do destino selecionado herdarão automaticamente esta política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

Exemplo de comando para criar uma política de configuração:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Exemplo de comando para associar uma política de configuração:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

O StartConfigurationPolicyAssociation API retorna um campo chamadoAssociationStatus. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. Para obter mais informações sobre status de associações, consulte Revisando o status de associação de uma política de configuração.