本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 更新配置策略 创建配置策略后,委托的 S AWS ecurity Hub CSPM 管理员帐户可以更新策略详细信息和策略关联。更新策略详细信息后,与配置策略关联的账户会自动开始使用更新后的策略。 有关中心配置的好处及其工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。 委派管理员可以更新以下策略设置: + 启用或禁用 Security Hub CSPM。 + 启用一项或多项[安全标准](standards-reference.md)。 + 指明在已启用的标准中启用了哪些[安全控件](securityhub-controls-reference.md)。您可以通过提供应启用的特定控件列表来实现这一点,而 Security Hub CSPM 会禁用所有其他控件(包括新发布的控件)。或者,您可以提供应禁用的特定控件列表,Security Hub CSPM 将启用所有其他控件(包括新发布的控件)。 + (可选)在已启用的标准中为选定的已启用控件[自定义参数](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)。 选择首选方法,然后按照步骤更新配置策略。 **注意** 如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。 如果涉及全局资源的已启用控件在主区域不受支持,则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置,您无法覆盖在主区域或任何关联区域中不可用的控件。 有关涉及全球资源的控件列表,请参阅[使用全局资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。 ------ #### [ Console ] **要更新配置策略** 1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。 1. 在导航窗格中,选择**设置**和**配置**。 1. 选择**策略**选项卡。 1. 选择要编辑的配置策略,然后选择**编辑**。如果需要,请编辑策略设置。如果要保持策略设置不变,请保留此部分。 1. 选择**下一步**。如果需要,请编辑策略关联。如果要保持策略关联不变,请保留此部分。更新策略时,您可以将策略与最多 15 个目标(账户或 root)关联或取消关联。 OUs 1. 选择**下一步**。 1. 检查更改,然后选择**保存并应用**。在您的主区域和关联区域中,此操作将覆盖与此配置策略关联的账户的现有配置设置。账户可以通过应用与配置策略相关联,也可以从父节点继承。 ------ #### [ API ] **要更新配置策略** 1. 要更新配置策略中的设置,请从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。 1. 提供要更新的配置策略的 Amazon 资源名称(ARN)或 ID。 1. 为 `ConfigurationPolicy` 下方的字段提供更新后的值。(可选)您还可以提供更新原因。 1. 要为此配置策略添加新的关联,请从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。要删除一个或多个当前关联,请从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API。 1. 对于 `ConfigurationPolicyIdentifier` 字段,提供要更新其关联的配置策略的 ARN 或 ID。 1. 在该`Target`字段中,提供您想要关联或取消关联的账户 OUs、或根 ID。此操作将覆盖指定 OUs 或账户之前的策略关联。 **注意** 调用 `UpdateConfigurationPolicy` API 时,Security Hub CSPM 会对 `EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers` 和 `SecurityControlCustomParameters` 字段执行完整列表替换。每次调用此 API 时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。 **更新配置策略的 API 请求示例:** ``` { "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Description": "Updated configuration policy", "UpdatedReason": "Disabling CloudWatch.1", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2", "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } } ``` ------ #### [ AWS CLI ] **要更新配置策略** 1. 要更新配置策略中的设置,请从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) 命令。 1. 提供要更新的配置策略的 Amazon 资源名称(ARN)或 ID。 1. 为 `configuration-policy` 下方的字段提供更新后的值。(可选)您还可以提供更新原因。 1. 要为此配置策略添加新的关联,请从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 命令。要移除一个或多个当前关联,请从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 命令。 1. 对于 `configuration-policy-identifier` 字段,提供要更新其关联的配置策略的 ARN 或 ID。 1. 在该`target`字段中,提供您想要关联或取消关联的账户 OUs、或根 ID。此操作将覆盖指定 OUs 或账户之前的策略关联。 **注意** 运行 `update-configuration-policy` 命令时,Security Hub CSPM 会对 `EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers` 和 `SecurityControlCustomParameters` 字段执行完整列表替换。每次运行此命令时,请提供要启用的标准的完整列表,以及要为其启用或禁用和自定义参数的控件的完整列表。 **更新配置策略的命令示例:** ``` aws securityhub update-configuration-policy \ --region us-east-1 \ --identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --description "Updated configuration policy" \ --updated-reason "Disabling CloudWatch.1" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' ``` ------ `StartConfigurationPolicyAssociation` API 返回一个名为 `AssociationStatus` 的字段。此字段会告诉您策略关联是待处理还是处于成功或失败状态。状态从 `PENDING` 变为 `SUCCESS` 或 `FAILURE` 可能需要长达 24 小时的时间。有关关联状态的更多信息,请参阅[查看配置策略的关联状态](view-policy.md#configuration-association-status)。