当您在 AWS Security Hub 中启用标准时,适用于该标准的所有控件都会自动启用该标准中的所有控件(服务托管标准除外)。然后,您可以禁用并重新启用标准中的特定控件。但是,我们建议您在所有已启用的标准中调整控件的启用状态。有关在所有标准中启用控件的说明,请参阅 针对各种标准启用控件。
标准的详细信息页面包含该标准的适用控件列表,以及有关该标准当前启用和禁用哪些控件的信息。
在标准详细信息页面上,您还可以在特定标准中启用控件。您必须针对每个 AWS 账户 和 AWS 区域 在特定标准中启用控件。在特定标准中启用控件时,它只会影响当前账户和区域。
要启用标准中的控件,您必须首先启用至少一个该控件适用的标准。有关启用标准的说明,请参阅在 Security Hub 中启用安全标准。当您在一个或多个标准中启用控件时,Security Hub 会开始生成该控件的调查发现。Security Hub 还在总体安全分数和标准安全分数的计算中包括控件状态。即使您在多个标准中启用了控件,但如果您开启整合的控件调查发现,您也将收到一个各类标准的安全检查调查发现。有关更多信息,请参阅 Consolidated control findings。
要启用标准中的控件,该控件必须在您当前的区域中可用。有关更多信息,请参阅根据区域的控件可用性。
请按照以下步骤启用特定标准中的 Security Hub 控件。除了以下步骤之外,您还可以使用 UpdateStandardsControl API 操作来启用特定标准中的控件。有关在所有标准中启用控件的说明,请参阅 单个账户和区域中的跨标准启用。
- Security Hub console
-
- Security Hub API
-
要启用特定标准中的控件
-
运行 ListSecurityControlDefinitionsDescribeStandards。此 API 返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。
请求示例:
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
-
运行 ListStandardsControlAssociations
请求示例:
{
"SecurityControlId": "IAM.1"
}
-
运行 BatchUpdateStandardsControlAssociations
-
将 AssociationStatus 参数设置为等于 ENABLED。
请求示例:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
- AWS CLI
-
要启用特定标准中的控件
-
运行 list-security-control-definitionsdescribe-standards。此命令返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。
aws securityhub --region us-east-1"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
-
运行 list-standards-control-associations
aws securityhub --region us-east-1CloudTrail.1
-
运行 batch-update-standards-control-associations
-
将 AssociationStatus 参数设置为等于 ENABLED。
aws securityhub --region us-east-1'[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
