创建和关联配置策略 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建和关联配置策略

委派的 AWS Security Hub 管理员账户可以创建配置策略,指定如何在指定账户和组织单位中配置 Security Hub、标准和控件(OUs)。只有在授权的管理员将配置策略与至少一个账户或组织单位 (OUs) 或 root 关联后,配置策略才会生效。委派的管理员还可以将自我管理的配置与账户OUs、或 root 关联起来。

如果您是首次创建配置策略,我们建议您先查看 配置策略在 Security Hub 中的工作原理

选择您的首选访问方法,然后按照步骤创建和关联配置策略或自管理配置。使用 Security Hub 控制台时,您可以将一个配置与多个账户关联或OUs同时关联。使用 Security Hub API 或时 AWS CLI,您只能将配置与每个请求中的一个账户或 OU 关联。

注意

如果您使用中央配置,Security Hub 会自动禁用涉及除本地区之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件将在所有可用区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。当您使用中央配置时,您无法覆盖主区域或任何关联区域中不可用的控件。有关涉及全局资源的控件列表,请参阅使用全局资源的控件

Security Hub console
要创建和关联配置策略

  1. 打开 AWS Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 在导航窗格中,选择配置策略选项卡。然后选择创建策略

  3. 如果这是您第一次创建配置策略,则在配置组织页面上,可以在配置类型下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到自定义策略选项。

    • 选择 “在整个组织中使用 AWS 推荐的 Security Hub 配置” 以使用我们推荐的策略。推荐的策略在所有组织帐户中启用 Security Hub,启用 AWS 基础安全最佳实践 (FSBP) 标准,并启用所有新的和现有的FSBP控件。控件使用默认参数值。

    • 选择我还没准备好配置,以稍后创建配置策略。

    • 选择自定义策略,以创建自定义配置策略。指定是启用还是禁用 Security Hub、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定自定义参数值

  4. 在 “帐户” 部分,选择要将配置策略应用于哪些目标账户或根账户。OUs

    • 如果要将配置策略应用于根,请选择所有账户。这包括组织OUs中所有未应用或继承其他政策的账户。

    • 如果要将配置策略应用于特定账户,请选择特定账户,或者OUs。输入账户IDs,或者OUs从组织结构中选择账户。创建策略时,您最多可以将策略应用于 15 个目标(账户或根)。OUs要指定更大的数字,请在创建策略后对其进行编辑,然后将其应用于其他目标。

    • 选择仅限委托管理员,将配置策略应用于当前的委托管理员账户。

  5. 选择下一步

  6. 查看和应用页面上,查看您的配置策略详细信息。然后选择创建并应用策略。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。子帐户和应用OUs的目标帐户将自动继承此配置策略,除非它们被特别排除、自行管理或使用不同的配置策略。

Security Hub API
要创建和关联配置策略

  1. 调用 CreateConfigurationPolicyAPI来自本地区的 Security Hub 委托管理员账户。

  2. 对于 Name,输入配置策略的唯一名称。(可选)对于 Description,为配置策略提供描述。

  3. ServiceEnabled 字段中,指定要在此配置策略中启用还是禁用 Security Hub。

  4. EnabledStandardIdentifiers 字段中,指定要在此配置策略中启用哪些 Security Hub 标准。

  5. 对于 SecurityControlsConfiguration 对象,请在此配置策略中指定要启用或禁用的控件。选择 EnabledSecurityControlIdentifiers 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 DisabledSecurityControlIdentifiers 意味着指定的控件被禁用。属于已启用标准的其他控件(包括新发布的控件)将被启用。

  6. 或者,在 SecurityControlCustomParameters 字段中,指定要为其自定义参数的已启用控件。为 ValueType 字段提供 CUSTOM,为 Value 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 了解 Security Hub 中的控制参数

  7. 要将您的配置策略应用于账户OUs,或者,请调用 StartConfigurationPolicyAssociationAPI来自本地区的 Security Hub 委托管理员账户。

  8. ConfigurationPolicyIdentifier在该字段中,提供政策的 Amazon 资源名称 (ARN) 或通用唯一标识符 (UUID)。ARN和UUID由返回CreateConfigurationPolicyAPI。对于自管理配置,该ConfigurationPolicyIdentifier字段等于。SELF_MANAGED_SECURITY_HUB

  9. Target 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个API请求中提供一个目标。子帐户和选定目标OUs的子帐户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。

创建配置策略的API请求示例:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

关联配置策略的API请求示例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
要创建和关联配置策略

  1. 运行create-configuration-policy来自本地区的 Security Hub 委托管理员帐户的命令。

  2. 对于 name,输入配置策略的唯一名称。(可选)对于 description,为配置策略提供描述。

  3. ServiceEnabled 字段中,指定要在此配置策略中启用还是禁用 Security Hub。

  4. EnabledStandardIdentifiers 字段中,指定要在此配置策略中启用哪些 Security Hub 标准。

  5. SecurityControlsConfiguration 字段中,请在此配置策略中指定要启用或禁用的控件。选择 EnabledSecurityControlIdentifiers 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 DisabledSecurityControlIdentifiers 意味着指定的控件被禁用。适用于您已启用标准的其他控件(包括新发布的控件)已启用。

  6. 或者,在 SecurityControlCustomParameters 字段中,指定要为其自定义参数的已启用控件。为 ValueType 字段提供 CUSTOM,为 Value 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 了解 Security Hub 中的控制参数

  7. 要将您的配置策略应用于账户OUs,或者,请运行 start-configuration-policy-association来自本地区的 Security Hub 委托管理员帐户的命令。

  8. 在该configuration-policy-identifier字段中,提供配置策略的 Amazon 资源名称 (ARN) 或 ID。此ARN和 ID 由create-configuration-policy命令返回。

  9. target 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。

用于创建配置策略的命令示例:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

用于关联配置策略的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociationAPI返回一个名为的字段AssociationStatus。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILURE 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅查看配置策略的关联状态