As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Habilitar um controle em todos os padrões
Recomendamos habilitar um controle CSPM do AWS Security Hub em todos os padrões aos quais o controle se aplica. Se você ativar as descobertas de controles consolidadas, receberá uma descoberta por verificação de controle, mesmo que um controle pertença a mais de um padrão.
## Habilitação em vários padrões em ambientes com várias contas e várias regiões
[Para habilitar um controle de segurança em vários Contas da AWS e Regiões da AWS, você deve estar conectado à conta delegada de administrador CSPM do Security Hub e usar a configuração central.](central-configuration-intro.md)
Na configuração central, o administrador delegado pode criar políticas de configuração do CSPM do Security Hub que habilitem controles específicos em todos os padrões habilitados. Em seguida, você pode associar a política de configuração a contas e unidades organizacionais específicas (OUs) ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.
As políticas de configuração oferecem personalização. Por exemplo, é possível optar por habilitar todos os controles em uma UO e optar por habilitar somente os controles do Amazon Elastic Compute Cloud (EC2) em outra UO. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que habilite controles específicos em padrões, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).
**nota**
O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão [Gerenciado por Serviços](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.
Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.
## Habilitação em vários padrões em uma única conta e região
Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para habilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um controle em uma única conta e região.
------
#### [ Security Hub CSPM console ]
**Para habilitar um controle em padrões em uma conta e região**
1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação, escolha **Controles**.
1. Escolha a guia **Desativado**.
1. Escolha a opção ao lado de um controle.
1. Escolha **Ativar controle** (essa opção não aparece para um controle que já está ativado).
1. Repita em cada região na qual deseja habilitar o controle.
------
#### [ Security Hub CSPM API ]
**Para habilitar um controle em padrões em uma conta e região**
1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Forneça uma ID de controle de segurança.
**Exemplo de solicitação:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).
1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`. Se você seguir essas etapas para um controle que já está ativado, a API retornará uma resposta do código de status HTTP 200.
**Exemplo de solicitação:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
```
1. Repita em cada região na qual deseja habilitar o controle.
------
#### [ AWS CLI ]
**Para habilitar um controle em padrões em uma conta e região**
1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Forneça uma ID de controle de segurança.
```
aws securityhub --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
```
1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute o `describe-standards` comando.
1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`. Se você seguir essas etapas para um controle que já está ativado, o comando retornará uma resposta do código de status HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
```
1. Repita em cada região na qual deseja habilitar o controle.
------