本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 启用特定标准中的控件 在 Sec AWS urity Hub CSPM 中启用标准时,适用于该标准的所有控件都会自动启用该标准中的所有控件(服务管理标准除外)。然后,您可以禁用并重新启用标准中的特定控件。但是,我们建议您在所有已启用的标准中调整控件的启用状态。有关在所有标准中启用控件的说明,请参阅 [针对各种标准启用控件](enable-controls-overview.md)。 标准的详细信息页面包含该标准的适用控件列表,以及有关该标准当前启用和禁用哪些控件的信息。 在标准详细信息页面上,您还可以在特定标准中启用控件。您必须在每个 AWS 账户 和中分别启用特定标准中的控件 AWS 区域。在特定标准中启用控件时,它只会影响当前账户和区域。 要启用标准中的控件,您必须首先启用至少一个该控件适用的标准。有关启用标准的说明,请参阅[启用安全标准](enable-standards.md)。当您在一个或多个标准中启用某个控件时,Security Hub CSPM 会开始生成该控件的调查发现。Security Hub CSPM 还在总体安全分数和标准安全分数的计算中包括[控件状态](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values)。即使您在多个标准中启用了控件,但如果您开启整合的控件调查发现,您也将收到一个各类标准的安全检查调查发现。有关更多信息,请参阅 [Consolidated control findings](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)。 要启用标准中的控件,该控件必须在您当前的区域中可用。有关更多信息,请参阅[根据区域的控件可用性](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support)。 请按照以下步骤启用*特定*标准中的 Security Hub CSPM 控件。除了以下步骤之外,您还可以使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) API 操作来启用特定标准中的控件。有关在*所有*标准中启用控件的说明,请参阅 [单个账户和区域中的跨标准启用](enable-controls-overview.md#enable-controls-all-standards)。 ------ #### [ Security Hub CSPM console ] **要启用特定标准中的控件** 1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 1. 从导航窗格中选择**安全标准**。 1. 对于相关标准,选择**查看结果**。 1. 选择控件。 1. 选择**启用控制**(对于已启用的控件,此选项不会出现)。选择**启用**进行确认。 ------ #### [ Security Hub CSPM API ] **要启用特定标准中的控件** 1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` 并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 返回与标准无关的安全控制 IDs,而不是特定于标准的控制。 IDs **请求示例:** ``` { "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0" } ``` 1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。 **请求示例:** ``` { "SecurityControlId": "IAM.1" } ``` 1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您想要在其中启用控件的标准的 ARN。 1. 将 `AssociationStatus` 参数设置为等于 `ENABLED`。 **请求示例:** ``` { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}] } ``` ------ #### [ AWS CLI ] **要启用特定标准中的控件** 1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` 命令并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行 `describe-standards`。此命令返回与标准无关的安全控制 IDs,而不是特定于标准的控制。 IDs ``` aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0" ``` 1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` 命令,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。 ``` aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1 ``` 1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您想要在其中启用控件的标准的 ARN。 1. 将 `AssociationStatus` 参数设置为等于 `ENABLED`。 ``` aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]' ``` ------