本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 Security Hub CSPM 中的安全控件
<a name="controls-view-manage"></a>

在 Sec AWS urity Hub CSPM 中，*安全控制*（也称为*控制*）是安全标准中的一种保护措施，可帮助组织保护其信息的机密性、完整性和可用性。在 Security Hub CSPM 中，控件与特定 AWS 资源相关。

当您在一个或多个标准中启用控件时，Security Hub CSPM 会开始对其运行安全检查。安全检查会生成 Security Hub CSPM 调查发现。当您禁用控件时，Security Hub CSPM 会停止对其运行安全检查，并且不会再生成调查发现。

您可以为单个帐户单独启用或禁用控件，以及 AWS 区域. 为了节省时间并减少多账户环境中的配置偏差，我们建议使用[中心配置](central-configuration-intro.md)启用或禁用控件。通过中心配置，Security Hub CSPM 委派管理员可以创建策略来指定如何跨多个账户和区域配置控件。有关启用和禁用控件的更多信息，请参阅[在 Security Hub CSPM 中启用控件](securityhub-standards-enable-disable-controls.md)。

## 整合控件视图
<a name="consolidated-controls-view"></a>

S **ec** urity Hub CSPM 控制台的 “控件” 页面显示当前版本中所有可用的控件 AWS 区域 （您可以通过访问 “**安全标准**” 页面并选择启用的标准来查看标准环境中的控件）。Security Hub CSPM 为控件分配了各项标准一致的安全控件 ID、标题和描述。控件 IDs 包括相关的 AWS 服务 和唯一的数字（例如， CodeBuild.3）。

[Security Hub CSPM 控制台](https://console.aws.amazon.com/securityhub/)的**控件**页面上提供了以下信息：
+ 总体安全评分基于已通过的控件占已启用控件总数与包含数据的控件总数的比例
+ 所有支持的 Security Hub CSPM 控件的控件状态细分
+ 通过和未通过的安全检查总数。
+ 针对不同严重程度的控件未通过的安全检查次数，以及查看有关这些未通过检查的更多详细信息的链接。
+ Security Hub CSPM 控件列表，其中包含用于查看特定控件子集的筛选条件。

在**控件**页面中，您可以选择一个控件来查看其详细信息并对该控件生成的调查发现采取行动。在此页面上，您还可以在当前 AWS 账户 和中启用或禁用安全控件 AWS 区域。**控件**页面中的启用和禁用操作适用于所有标准。有关更多信息，请参阅 [在 Security Hub CSPM 中启用控件](securityhub-standards-enable-disable-controls.md)。

对于管理员账户，**控件**页面反映了成员账户中的控件状态。如果至少一个成员账户中的控件检查失败，则控件状态为**失败**。如果您设置了[聚合区域](finding-aggregation.md)，则**控件**页面将反映所有关联区域中控件的状态。如果至少一个关联区域中的控件检查失败，则控件状态为**失败**。

合并控件视图会导致对 AWS 安全调查结果格式 (ASFF) 中的控制查找字段进行更改，这可能会影响工作流程。有关更多信息，请参阅 [整合的控件视图——ASFF 变更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view)。

## 控件的总体安全评分
<a name="controls-overall-score"></a>

**控件**页面显示的总体安全评分介于 0-100% 之间。总体安全评分是根据通过的控件与启用的控件（包含各标准的数据）总数的比例来计算的。

**注意**  
 要查看控件的总体安全分数，您必须将调用 **`BatchGetControlEvaluations`** 的权限添加到您用于访问 Security Hub CSPM 的 IAM 角色中。查看特定标准的安全评分不需要此权限。

启用 Security Hub CSPM 后，Security Hub CSPM 会在您首次访问 Security Hub CSPM 控制台上的**摘要**页面或**安全标准**页面后 30 分钟内计算出初始安全分数。在中国地区和 AWS GovCloud (US) Regions生成首次获得安全评分最多需要 24 小时。

除了总体安全分数之外，Security Hub CSPM 还会在您首次访问**摘要**页面或**安全标准**页面后 30 分钟内计算每个已启用标准的标准安全分数。要查看当前启用的标准列表，请使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) API 操作。

AWS Config 必须启用资源记录功能才能显示分数。有关 Security Hub CSPM 如何计算安全分数的信息，请参阅[计算安全分数](standards-security-score.md)。

首次生成分数后，Security Hub CSPM 每 24 小时更新一次安全分数。Security Hub CSPM 显示时间戳以指示安全分数上次更新的时间。

如果您设置了聚合区域，则总体安全分数将反映关联区域的控件调查发现。