本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 恢复为默认控制参数值
<a name="revert-default-parameter-values"></a>

控制参数可以具有 Sec AWS urity Hub CSPM 定义的默认值。Security Hub CSPM 偶尔也会更新参数的默认值，以反映不断演变的安全最佳实践。如果您还没有为控制参数指定自定义值，则该控件会自动跟踪这些更新并使用新的默认值。

您可以恢复为使用控件的默认参数值。恢复说明取决于您是否在 Security Hub CSPM 中使用[中心配置](central-configuration-intro.md)。中央配置是一项功能，委派的 Security Hub CSPM 管理员可以使用它来跨 AWS 区域账户和组织单位配置 Security Hub CSPM 功能（）。OUs

**注意**  
并非所有控件参数都具有默认 Security Hub CSPM 值。在此类情况下，当 `ValueType` 设置为 `DEFAULT` 时，没有 Security Hub CSPM 可使用的特定默认值。相反，如果没有自定义值，Security Hub CSPM 将忽略该参数。

## 在多个账户和区域中恢复为默认控件参数
<a name="revert-default-parameter-values-central-config"></a>

如果您使用中央配置，则可以恢复多个集中管理账户以及主区域和关联区域 OUs 中的控制参数。

选择您的首选方法，然后按照以下步骤，使用中心配置在多个账户和区域中恢复为默认参数值。

------
#### [ Security Hub CSPM console ]

**恢复多个账户和区域中的默认控件参数值（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。

1. 在导航窗格中，选择**设置**和**配置**。

1. 选择**策略**选项卡。

1. 选择一个策略，然后选择**编辑**。

1. 在**自定义策略**下，**控件**部分显示了您为其指定自定义参数的控件列表。

1. 找到具有一个或多个要恢复的参数值的控件。然后，选择**删除**以恢复为默认值。

1. 在 “**帐户**” 部分中，验证要应用策略的账户或 OUs 账户。

1. 选择**下一步**。

1. 再次检查您的更改，确认正确无误。完成后，选择**保存策略并应用**。在您的主区域和所有关联区域中，此操作将覆盖与 OUs 该配置策略关联的账户的现有配置设置。账户和 OUs 可以通过直接应用或从父级继承来与配置策略相关联。

------
#### [ Security Hub CSPM API ]

**恢复多个账户和区域中的默认控件参数值（API）**

1. 从主区域的委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。

1. 对于 `Identifier` 字段，提供要更新策略的 Amazon 资源名称（ARN）或 ID。

1. 对于 `SecurityControlCustomParameters` 对象，请提供要为其恢复一个或多个参数的每个控件的标识符。

1. 在 `Parameters` 对象中，为要恢复的每个参数提供 `DEFAULT` 作为 `ValueType` 字段的值。当 `ValueType` 设置为 `DEFAULT` 时，无需为该 `Value` 字段提供值。如果您的请求中包含了值，Security Hub CSPM 会将其忽略。如果您的请求省略了控件支持的参数，则该参数将保留其当前值。

**警告**  
如果在 `SecurityControlCustomParameters` 字段中省略控件对象，Security Hub CSPM 会将该控件的所有自定义参数恢复为其默认值。`SecurityControlCustomParameters` 的列表完全为空会将所有控件的自定义参数恢复为其默认值。

例如，以下 AWS CLI 命令将的`daysToExpiration`控制参数恢复`ACM.1`为其在指定配置策略中的默认值。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## 在一个账户和区域中恢复为默认参数值
<a name="revert-default-parameter-values-local-config"></a>

如果您不使用中心配置或拥有自行管理账户，则可以恢复为每次在一个区域中使用账户的默认参数值。

选择您的首选方法，然后按照以下步骤在单个区域中将您的账户恢复为默认参数值。要在其他区域中恢复为默认参数值，请在每个其他区域中重复这些步骤。

**注意**  
如果您禁用 Security Hub CSPM，则您的自定义控制参数将被重置。如果您将来再次启用 Security Hub CSPM，则所有控件最开始都将使用默认参数值。

------
#### [ Security Hub CSPM console ]

**在一个账户和区域中恢复默认控件参数值（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在导航窗格中，选择**控件**。选择要恢复为默认值的参数。

1. 在 `Parameters` 选项卡上，选择控制参数旁边的**自定义**。然后，选择**删除自定义**。此参数现在使用默认 Security Hub CSPM 值，并会跟踪未来的默认值更新。

1. 对要恢复的每个参数值重复上述步骤。

------
#### [ Security Hub CSPM API ]

**在一个账户和区域中恢复默认控件参数值（API）**

1. 调用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API。

1. 对于 `SecurityControlId`，请提供要恢复其参数的控件的 ARN 或 ID。

1. 在 `Parameters` 对象中，为要恢复的每个参数提供 `DEFAULT` 作为 `ValueType` 字段的值。当 `ValueType` 设置为 `DEFAULT` 时，无需为该 `Value` 字段提供值。如果您的请求中包含了值，Security Hub CSPM 会将其忽略。

1. （可选）对于 `LastUpdateReason`，提供恢复为默认参数值的原因。

例如，以下 AWS CLI 命令将的`daysToExpiration`控制参数恢复`ACM.1`为其默认值。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------