在 Security Hub 中禁用安全标准 - AWS Security Hub
在多个账户和区域中禁用标准在单个账户和区域中禁用标准

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub 中禁用安全标准

在 Security Hub 中禁用安全标准时,会发生以下情况:

  • 适用于该标准的所有控件也将被禁用,除非它们与另一个标准关联。

  • 不再执行对禁用控件的检查,并且不会为禁用控件生成其他结果。

  • 已禁用控件的现有调查发现将在大约 3-5 天后自动存档。

  • Security Hub 为已禁用的控件创建的 AWS Config 规则已删除。

    这通常会在您禁用标准后的几分钟内发生,但可能需要更长的时间。如果删除规则的第一个请求失败, AWS Config 则 Security Hub 每 12 小时重试一次。但是,如果您禁用了 Security Hub 或者没有启用任何其他标准,那么 Security Hub 将无法重试该请求,这意味着它无法删除 AWS Config 规则。如果发生这种情况,并且您需要删除 AWS Config 规则,请联系 AWS Support。

在多个账户和区域中禁用标准

要在多个账户和区域禁用安全标准,必须使用中心配置

使用中心配置时,委托管理员可以创建禁用一个或多个标准的配置策略。您可以将配置策略与特定账户和 OUs /或根账户相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。

配置策略可自定义。例如,您可以选择在一个 OU 中禁用支付卡行业数据安全标准 (PCIDSS),也可以选择在另一个 OU 中禁用两者PCIDSS以及美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5。有关创建禁用指定标准的配置策略的说明,请参阅创建和关联配置策略

注意

授权的管理员可以创建配置策略来禁用除服务管理标准之外的任何标准: AWS Control Tower。您只能在 AWS Control Tower 服务中禁用此标准。如果您使用中心配置,则只能在 AWS Control Tower中为集中管理的账户启用和禁用本标准中的控件。

如果您希望某些账户自行配置标准而不是由委托管理员配置,则委托管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域单独配置标准。

在单个账户和区域中禁用标准

如果您不使用中心配置或您是自行管理账户,则无法使用配置策略在多个账户和区域中集中禁用标准。但是,您可以使用以下步骤在单个账户和区域中禁用标准。

Security Hub console
在一个账户和区域中禁用标准

  1. 打开 AWS Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

  2. 确认您正在要禁用该标准的区域中使用 Security Hub。

  3. 在 Security Hub 导航窗格中,选择安全标准

  4. 对于要禁用的标准,请选择 Disable(禁用)

  5. 在您要禁用标准的每个区域中重复此操作。

Security Hub API
在一个账户和区域中禁用标准

  1. 调用 BatchDisableStandards API.

  2. 对于要禁用的每个标准,请提供标准订阅ARN。要获取您启用的标准ARNs的订阅,请调用 GetEnabledStandards API.

  3. 在您要禁用标准的每个区域中重复此操作。

AWS CLI
在一个账户和区域中禁用标准

  1. 运行batch-disable-standards命令。

  2. 对于要禁用的每个标准,请提供标准订阅ARN。要订阅已启ARNs用的标准,请运行 get-enabled-standards命令。

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    示例

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. 在您要禁用标准的每个区域中重复此操作。