本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 禁用 Security Hub CSPM 你可以使用 Sec AWS urity Hub CSPM 控制台或 Security Hub API 禁用 Security Hub CSPM。如果您禁用 Security Hub CSPM,则可以稍后重新启用它。 如果您的组织使用集中配置,则委派的 Security Hub CSPM 管理员可以创建配置策略,为特定账户和组织单位(OUs)禁用 Security Hub CSPM,并使其他账户和组织单位启用 Security Hub CSPM。配置策略影响主区域和所有关联区域。有关更多信息,请参阅 [了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。 如果禁用某个账户的 Security Hub CSPM,则会发生以下情况: + 该账户的所有 Security Hub CSPM 标准和控件均已禁用。 + Security Hub CSPM 停止为该账户生成、更新和提取调查发现。 + 30 天后,Security Hub CSPM 将永久删除该账户的所有现有存档调查发现。使用 Security Hub CSPM 无法恢复这些调查发现。 + 90 天后,Security Hub CSPM 将永久删除该账户的所有现有活跃调查发现。使用 Security Hub CSPM 无法恢复这些调查发现。 + 90 天后,Security Hub CSPM 将永久删除该账户的所有现有见解和 Security Hub CSPM 配置设置。数据和设置无法恢复。 要保留现有调查发现,可以在禁用 Security Hub CSPM 之前将调查发现导出到 S3 存储桶。您可以通过使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 [EventBridge 用于自动响应和补救](securityhub-cloudwatch-events.md)。 如果您在为账户禁用 Security Hub CSPM 后的 90 天内重新启用该功能,则可以重新获得该账户的现有活跃调查发现以及见解和 Security Hub CSPM 配置设置的访问权限。如果您在 30 天内重新启用 Security Hub CSPM,则还可以重新获得该账户的现有存档调查发现的访问权限。但是,现有发现可能不准确,因为它们将反映您禁用 Security Hub CSPM 时的 AWS 环境状态。此外,当您重新启用单个标准和控制时,Security Hub CSPM 最初可能会为特定 AWS 资源生成重复的结果,具体取决于您启用的标准和控件。出于这些原因,我们建议您执行以下操作之一: + 在禁用 Security Hub CSPM 之前,请将所有现有调查发现的工作流状态更改为 `RESOLVED`。有关更多信息,请参阅 [设置调查发现的工作流状态](findings-workflow-status.md)。 + 在禁用 Security Hub CSPM 之前至少六天禁用所有标准。然后,Security Hub CSPM 会尽最大努力将所有现有调查发现归档,通常在三到五天内。有关更多信息,请参阅 [禁用标准](disable-standards.md)。 在以下情况下,您无法禁用 Security Hub CSPM: + 您的账户是某组织的 Security Hub CSPM 委派管理员帐户。如果使用中心配置,则无法将禁用 Security Hub CSPM 的配置策略与委派管理员账户关联。其他账户的关联可能会成功,但 Security Hub CSPM 不会将该策略应用于委派管理员账户。 + 您的账户是受邀的 Security Hub CSPM 管理员账户,并且您拥有成员账户。在禁用 Security Hub CSPM 之前,您必须解除关联所有成员账户。要了解如何操作,请参阅[在 Security Hub CSPM 中解除关联成员账户](securityhub-disassociate-members.md)。 在成员账户的所有者可以禁用 Security Hub CSPM 之前,您必须先解除该账户与其管理员账户的关联。对于组织账户,只有管理员账户可以解除成员账户关联。有关更多信息,请参阅 [解除 Security Hub CSPM 成员账户与组织的关联](accounts-orgs-disassociate.md)。对于手动邀请的账户,管理员账户或成员账户可以解除成员账户关联。有关更多信息,请参阅 [在 Security Hub CSPM 中解除关联成员账户](securityhub-disassociate-members.md)或 [解除关联 Security Hub CSPM 管理员账户](securityhub-disassociate-from-admin.md)。如果使用中心配置,则不需要解除关联,因为 Security Hub CSPM 管理员可以创建一个策略来为特定成员账户禁用 Security Hub CSPM。 当你为账户禁用 Security Hub CSPM 时,它只能在当前版本中被禁用。 AWS 区域但是,如果使用中心配置为特定账户禁用 Security Hub CSPM,则会导致在主区域和所有关联区域禁用 Security Hub CSPM。 要禁用 Security Hub CSPM,请选择您喜欢的方法并按照步骤进行操作。 ------ #### [ Security Hub CSPM console ] 请按照以下步骤使用控制台禁用 Security Hub CSPM。 **禁用 Security Hub CSPM** 1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 1. 在导航窗格中的**设置**下,选择**常规**。 1. 在**禁用 Security Hub CSPM** 部分中,选择**禁用 Security Hub CSPM**。 1. 当系统提示确认时,请选择**禁用 Security Hub CSPM**。 ------ #### [ Security Hub API ] 要以编程方式禁用 Security Hub CSPM,请使用 Sec AWS urity Hub API 的[DisableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html)操作。或者,如果您使用的是 AWS CLI,请运行该[disable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html)命令。例如,以下命令在当前版本中禁用 Security Hub CSPM: AWS 区域 ``` $ aws securityhub disable-security-hub ``` ------