As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Desabilitar um controle em todos os padrões
Recomendamos desativar um controle CSPM do AWS Security Hub em todos os padrões para manter o alinhamento em toda a organização. Se você desabilitar um controle em padrões específicos, continuará recebendo descobertas para o controle se ele estiver habilitado em outros padrões.
## Desabilitação de vários padrões, em várias contas e regiões
Para desativar um controle de segurança em vários Contas da AWS e Regiões da AWS, você deve usar a [configuração central](central-configuration-intro.md).
Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do CSPM do Security Hub que desabilitem controles específicos em padrões habilitados. Em seguida, você pode associar a política de configuração a OUs contas específicas ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.
As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar todos os AWS CloudTrail controles em uma OU e pode optar por desativar todos os controles do IAM em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que desabilite controles específicos em padrões, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).
**nota**
O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão [Gerenciado por Serviços](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.
Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.
## Desabilitação de vários padrões em uma única conta e região
Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível desabilitar um controle em uma única conta e região.
------
#### [ Security Hub CSPM console ]
**Para desabilitar um controle em padrões em uma conta e região**
1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação, escolha **Controles**.
1. Escolha a opção ao lado de um controle.
1. Escolha **Desabilitar controle**. Essa opção não aparecerá para um controle que já esteja desabilitado.
1. Forneça um motivo para desativar o controle e confirme escolhendo **Desativar**.
1. Repita em cada região na qual deseja desabilitar o controle.
------
#### [ Security Hub CSPM API ]
**Para desabilitar um controle em padrões em uma conta e região**
1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Forneça uma ID de controle de segurança.
**Exemplo de solicitação:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).
1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.
**Exemplo de solicitação:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}
```
1. Repita em cada região na qual deseja desabilitar o controle.
------
#### [ AWS CLI ]
**Para desabilitar um controle em padrões em uma conta e região**
1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Forneça uma ID de controle de segurança.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute o `describe-standards` comando.
1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está desativado, o comando retornará uma resposta do código de status HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
```
1. Repita em cada região na qual deseja desabilitar o controle.
------