本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建和关联配置策略 委派的 S AWS ecurity Hub CSPM 管理员帐户可以创建配置策略,指定如何在指定账户和组织单位中配置 Security Hub CSPM、标准和控制()。OUs只有在授权的管理员将配置策略与至少一个账户或组织单位 (OUs) 或 root 关联后,该配置策略才会生效。委派的管理员还可以将自我管理的配置与账户 OUs、或 root 关联起来。 如果您是首次创建配置策略,我们建议您先查看 [Security Hub CSPM 中配置策略的工作原理](configuration-policies-overview.md)。 选择您的首选访问方法,然后按照步骤创建和关联配置策略或自行管理配置。使用 Security Hub CSPM 控制台时,您可以将一个配置与多个账户关联或 OUs 同时关联。使用 Security Hub CSPM API 或时 AWS CLI,您只能在每个请求中将配置与一个账户或 OU 相关联。 **注意** 如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。 如果涉及全局资源的已启用控件在主区域不受支持,则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置,您无法覆盖在主区域或任何关联区域中不可用的控件。 有关涉及全球资源的控件列表,请参阅[使用全局资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。 ------ #### [ Security Hub CSPM console ] **要创建和关联配置策略** 1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。 1. 在导航窗格中,选择**配置**和**策略**选项卡。然后选择**创建策略**。 1. 如果这是您第一次创建配置策略,则在**配置组织**页面上,可以在**配置类型**下看到三个选项。如果您已经创建了至少一个配置策略,则只能看到**自定义策略**选项。 + 选择 “在**整个组织中使用 AWS 推荐的 Security Hub CSPM 配置**” 以使用我们推荐的策略。推荐的策略在所有组织帐户中启用 Security Hub CSPM,启用 AWS 基础安全最佳实践 (FSBP) 标准,并启用所有新的和现有的 FSBP 控件。控件使用默认参数值。 + 选择**我还没准备好配置**,以稍后创建配置策略。 + 选择**自定义策略**,以创建自定义配置策略。指定是启用还是禁用 Security Hub CSPM、要启用哪些标准以及要在这些标准中启用哪些控件。(可选)为一个或多个支持自定义参数的已启用控件指定[自定义参数值](custom-control-parameters.md)。 1. 在 “**帐户**” 部分,选择要将配置策略应用于哪些目标账户或根账户。 OUs + 如果要将配置策略应用于根,请选择**所有账户**。这包括组织 OUs 中所有未应用或继承其他政策的账户。 + 如果要将配置策略应用于**特定账户**,请选择特定账户,或者 OUs。输入账户 IDs,或者 OUs 从组织结构中选择账户。创建策略时,您最多可以将策略应用于 15 个目标(账户或根)。 OUs要指定更多目标,请在创建策略后进行编辑,然后将其应用于其他目标。 + 选择**仅限委派管理员**,将配置策略应用于当前的委派管理员账户。 1. 选择**下一步**。 1. 在**查看和应用**页面上,查看您的配置策略详细信息。然后选择**创建并应用策略**。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。子帐户和应用 OUs 的目标帐户将自动继承此配置策略,除非它们被特别排除、自行管理或使用不同的配置策略。 ------ #### [ Security Hub CSPM API ] **要创建和关联配置策略** 1. 从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API。 1. 对于 `Name`,输入配置策略的唯一名称。(可选)对于 `Description`,为配置策略提供描述。 1. 在 `ServiceEnabled` 字段中,指定要在此配置策略中启用还是禁用 Security Hub CSPM。 1. 在 `EnabledStandardIdentifiers` 字段中,指定要在此配置策略中启用哪些 Security Hub CSPM 标准。 1. 对于 `SecurityControlsConfiguration` 对象,请在此配置策略中指定要启用或禁用的控件。选择 `EnabledSecurityControlIdentifiers` 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 `DisabledSecurityControlIdentifiers` 意味着指定的控件被禁用。属于已启用标准的其他控件(包括新发布的控件)将被启用。 1. 或者,在 `SecurityControlCustomParameters` 字段中,指定要为其自定义参数的已启用控件。为 `ValueType` 字段提供 `CUSTOM`,为 `Value` 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub CSPM 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 [了解 Security Hub CSPM 中的控件参数](custom-control-parameters.md)。 1. 要将您的配置策略应用于账户或 OUs,请从所在区域的 Security Hub CSPM 委托管理员账户中调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API。 1. 请为 `ConfigurationPolicyIdentifier` 字段提供策略的 Amazon 资源名称(ARN)或用唯一标识符(UUID)。此 ARN 和 UUID 由 `CreateConfigurationPolicy` API 返回。对于自行管理配置,`ConfigurationPolicyIdentifier` 字段等于 `SELF_MANAGED_SECURITY_HUB`。 1. 在 `Target` 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每个 API 请求中提供一个目标。子帐户和选定目标 OUs 的子帐户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。 **用于创建配置策略的 API 请求示例:** ``` { "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } } ``` **用于关联配置策略的 API 请求示例:** ``` { "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} } ``` ------ #### [ AWS CLI ] **要创建和关联配置策略** 1. 从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) 命令。 1. 对于 `name`,输入配置策略的唯一名称。(可选)对于 `description`,为配置策略提供描述。 1. 在 `ServiceEnabled` 字段中,指定要在此配置策略中启用还是禁用 Security Hub CSPM。 1. 在 `EnabledStandardIdentifiers` 字段中,指定要在此配置策略中启用哪些 Security Hub CSPM 标准。 1. 在 `SecurityControlsConfiguration` 字段中,请在此配置策略中指定要启用或禁用的控件。选择 `EnabledSecurityControlIdentifiers` 意味着指定的控件已启用。已启用标准中的其他控件(包括新发布的控件)将被禁用。选择 `DisabledSecurityControlIdentifiers` 意味着指定的控件被禁用。适用于您已启用标准的其他控件(包括新发布的控件)已启用。 1. 或者,在 `SecurityControlCustomParameters` 字段中,指定要为其自定义参数的已启用控件。为 `ValueType` 字段提供 `CUSTOM`,为 `Value` 字段提供自定义参数值。该值必须是正确的数据类型,并且必须在 Security Hub CSPM 指定的有效范围内。只有精选控件支持自定义参数值。有关更多信息,请参阅 [了解 Security Hub CSPM 中的控件参数](custom-control-parameters.md)。 1. 要将您的配置策略应用于账户或 OUs,请从所在区域的 Security Hub CSPM 委托管理员账户运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。 1. 请为 `configuration-policy-identifier` 字段提供配置策略的 Amazon 资源名称(ARN)或 ID。此 ARN 和 ID 由 `create-configuration-policy` 命令返回。 1. 在 `target` 字段中,提供您希望此配置策略应用的 OU、账户或根 ID。您只能在每次运行命令时提供一个目标。所选目标的子账户将自动继承此配置策略,除非它们是自行管理的或使用不同的配置策略。 **用于创建配置策略的命令示例:** ``` aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' ``` **用于关联配置策略的命令示例:** ``` aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}' ``` ------ `StartConfigurationPolicyAssociation` API 返回一个名为 `AssociationStatus` 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 `PENDING` 变为 `SUCCESS` 或 `FAILURE` 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅[查看配置策略的关联状态](view-policy.md#configuration-association-status)。