选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

创建和关联配置策略

PDF
RSS
聚焦模式
创建和关联配置策略 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

委派的 AWS Security Hub 管理员账户可以创建配置策略,指定如何在指定账户和组织单位中配置 Security Hub、标准和控件(OUs)。只有在授权的管理员将配置策略与至少一个账户或组织单位 (OUs) 或 root 关联后,该配置策略才会生效。委派的管理员还可以将自我管理的配置与账户 OUs、或 root 关联起来。

如果您是首次创建配置策略,我们建议您先查看 Security Hub 中的配置策略的工作原理

选择您的首选访问方法,然后按照步骤创建和关联配置策略或自行管理配置。使用 Security Hub 控制台时,您可以将一个配置与多个账户关联或 OUs 同时关联。使用 Security Hub API 或时 AWS CLI,您只能在每个请求中将配置与一个账户或 OU 相关联。

注意

如果您使用中心配置,Security Hub 会自动禁用涉及除主区域之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。

如果本地区域不支持涉及全球资源的已启用控件,Security Hub 会尝试在支持该控件的一个链接区域中启用该控件。使用中央配置时,您无法覆盖主区域或任何关联区域中不可用的控件。

有关涉及全球资源的控件列表,请参阅使用全局资源的控件

Security Hub console
要创建和关联配置策略

  1. 打开 AWS Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 在导航窗格中,选择配置策略选项卡。然后选择创建策略

  3. 如果这是您第一次创建配置策略,则在配置组织页面上,可以在配置类型下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到自定义策略选项。

    • 选择 “在整个组织中使用 AWS 推荐的 Security Hub 配置” 以使用我们推荐的策略。推荐的策略在所有组织帐户中启用 Security Hub,启用 AWS 基础安全最佳实践 (FSBP) 标准,并启用所有新的和现有的 FSBP 控件。控件使用默认参数值。

    • 选择我还没准备好配置,以稍后创建配置策略。

    • 选择自定义策略,以创建自定义配置策略。指定是启用还是禁用 Security Hub、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定自定义参数值

  4. 在 “帐户” 部分,选择要将配置策略应用于哪些目标账户或根账户。 OUs

    • 如果要将配置策略应用于根,请选择所有账户。这包括组织 OUs 中所有未应用或继承其他政策的账户。

    • 如果要将配置策略应用于特定账户,请选择特定账户,或者 OUs。输入账户 IDs,或者 OUs 从组织结构中选择账户。创建策略时,您最多可以将策略应用于 15 个目标(账户或根)。 OUs要指定更多目标,请在创建策略后进行编辑,然后将其应用于其他目标。

    • 选择仅限委托管理员,将配置策略应用于当前的委托管理员账户。

  5. 选择下一步

  6. 查看和应用页面上,查看您的配置策略详细信息。然后选择创建并应用策略。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。子帐户和应用 OUs 的目标帐户将自动继承此配置策略,除非它们被特别排除、自行管理或使用不同的配置策略。

Security Hub API
要创建和关联配置策略

  1. 调用 CreateConfigurationPolicy来自本地区的 Security Hub 委托管理员账户的 API。

  2. 对于 Name,输入配置策略的唯一名称。(可选)对于 Description,为配置策略提供描述。

  3. ServiceEnabled 字段中,指定要在此配置策略中启用还是禁用 Security Hub。

  4. EnabledStandardIdentifiers 字段中,指定要在此配置策略中启用哪些 Security Hub 标准。

  5. 对于 SecurityControlsConfiguration 对象,请在此配置策略中指定要启用或禁用的控件。选择 EnabledSecurityControlIdentifiers 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 DisabledSecurityControlIdentifiers 意味着指定的控件被禁用。属于已启用标准的其他控件(包括新发布的控件)将被启用。

  6. 或者,在 SecurityControlCustomParameters 字段中,指定要为其自定义参数的已启用控件。为 ValueType 字段提供 CUSTOM,为 Value 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 了解 Security Hub 中的控件参数

  7. 要将您的配置策略应用于账户 OUs,或者,请调用 StartConfigurationPolicyAssociation来自本地区的 Security Hub 委托管理员账户的 API。

  8. 请为 ConfigurationPolicyIdentifier 字段提供策略的 Amazon 资源名称(ARN)或用唯一标识符(UUID)。此 ARN 和 UUID 由 CreateConfigurationPolicy API 返回。对于自行管理配置,ConfigurationPolicyIdentifier 字段等于 SELF_MANAGED_SECURITY_HUB

  9. Target 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个 API 请求中提供一个目标。子帐户和选定目标 OUs 的子帐户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。

用于创建配置策略的 API 请求示例:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

用于关联配置策略的 API 请求示例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
要创建和关联配置策略

  1. 运行create-configuration-policy来自本地区的 Security Hub 委托管理员帐户的命令。

  2. 对于 name,输入配置策略的唯一名称。(可选)对于 description,为配置策略提供描述。

  3. ServiceEnabled 字段中,指定要在此配置策略中启用还是禁用 Security Hub。

  4. EnabledStandardIdentifiers 字段中,指定要在此配置策略中启用哪些 Security Hub 标准。

  5. SecurityControlsConfiguration 字段中,请在此配置策略中指定要启用或禁用的控件。选择 EnabledSecurityControlIdentifiers 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 DisabledSecurityControlIdentifiers 意味着指定的控件被禁用。适用于您已启用标准的其他控件(包括新发布的控件)已启用。

  6. 或者,在 SecurityControlCustomParameters 字段中,指定要为其自定义参数的已启用控件。为 ValueType 字段提供 CUSTOM,为 Value 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 了解 Security Hub 中的控件参数

  7. 要将您的配置策略应用于账户 OUs,或者,请运行 start-configuration-policy-association来自本地区的 Security Hub 委托管理员帐户的命令。

  8. 请为 configuration-policy-identifier 字段提供配置策略的 Amazon 资源名称(ARN)或 ID。此 ARN 和 ID 由 create-configuration-policy 命令返回。

  9. target 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。

用于创建配置策略的命令示例:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

用于关联配置策略的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
anchoranchoranchor
要创建和关联配置策略

  1. 打开 AWS Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 在导航窗格中,选择配置策略选项卡。然后选择创建策略

  3. 如果这是您第一次创建配置策略,则在配置组织页面上,可以在配置类型下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到自定义策略选项。

    • 选择 “在整个组织中使用 AWS 推荐的 Security Hub 配置” 以使用我们推荐的策略。推荐的策略在所有组织帐户中启用 Security Hub,启用 AWS 基础安全最佳实践 (FSBP) 标准,并启用所有新的和现有的 FSBP 控件。控件使用默认参数值。

    • 选择我还没准备好配置,以稍后创建配置策略。

    • 选择自定义策略,以创建自定义配置策略。指定是启用还是禁用 Security Hub、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定自定义参数值

  4. 在 “帐户” 部分,选择要将配置策略应用于哪些目标账户或根账户。 OUs

    • 如果要将配置策略应用于根,请选择所有账户。这包括组织 OUs 中所有未应用或继承其他政策的账户。

    • 如果要将配置策略应用于特定账户,请选择特定账户,或者 OUs。输入账户 IDs,或者 OUs 从组织结构中选择账户。创建策略时,您最多可以将策略应用于 15 个目标(账户或根)。 OUs要指定更多目标,请在创建策略后进行编辑,然后将其应用于其他目标。

    • 选择仅限委托管理员,将配置策略应用于当前的委托管理员账户。

  5. 选择下一步

  6. 查看和应用页面上,查看您的配置策略详细信息。然后选择创建并应用策略。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。子帐户和应用 OUs 的目标帐户将自动继承此配置策略,除非它们被特别排除、自行管理或使用不同的配置策略。

StartConfigurationPolicyAssociation API 返回一个名为 AssociationStatus 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILURE 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅查看配置策略的关联状态

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。