本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您在 中啟用標準時 AWS Security Hub,該標準中會自動啟用所有適用的控制項 (此服務的例外狀況是服務受管標準)。然後,您可以在 標準中停用並重新啟用特定控制項。不過,建議您在所有啟用的標準中,調整控制項的啟用狀態。如需在所有標準中啟用控制項的說明,請參閱啟用跨標準的控制。
標準的詳細資訊頁面包含標準適用的控制項清單,以及有關目前在該標準中啟用和停用哪些控制項的資訊。
在標準詳細資訊頁面上,您也可以在特定標準中啟用控制項。您必須在每個 AWS 帳戶 和 中分別啟用特定標準的控制項 AWS 區域。當您在特定標準中啟用控制項時,它只會影響目前的帳戶和區域。
若要在標準中啟用控制項,您必須先啟用至少一個控制項適用的標準。如需啟用標準的指示,請參閱 在 Security Hub 中啟用安全標準。當您在一或多個標準中啟用控制項時,Security Hub 會開始產生該控制項的調查結果。Security Hub 會在計算整體安全分數和標準安全分數時包含控制狀態。即使您在多個標準中啟用控制,如果您開啟合併控制問題清單,則每個標準之間的安全檢查都會收到單一問題清單。如需了解更多資訊,請參閱合併的控制調查結果。
若要在標準中啟用控制項,該控制項必須在您目前的區域中可用。如需詳細資訊,請參閱依區域的控制項可用性。
請依照下列步驟,在特定標準中啟用 Security Hub 控制。您也可以使用 UpdateStandardsControl API 動作來啟用特定標準中的控制項,以取代下列步驟。如需在所有標準中啟用控制項的指示,請參閱單一帳戶和區域中的跨標準啟用。
- Security Hub console
-
- Security Hub API
-
在特定標準中啟用控制項
-
執行 ListSecurityControlDefinitionsDescribeStandards。此 API 會傳回標準無關的安全控制 IDs,而非標準特定的控制 IDs。
請求範例:
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
-
執行 ListStandardsControlAssociations
請求範例:
{
"SecurityControlId": "IAM.1"
}
-
執行 BatchUpdateStandardsControlAssociations
-
將 AssociationStatus 參數設定為等於 ENABLED。
請求範例:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
- AWS CLI
-
在特定標準中啟用控制項
-
執行 list-security-control-definitionsdescribe-standards。此命令會傳回標準無關的安全控制 IDs,而非標準特定的控制 IDs。
aws securityhub --region us-east-1"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
-
執行 list-standards-control-associations
aws securityhub --region us-east-1CloudTrail.1
-
執行 batch-update-standards-control-associations
-
將 AssociationStatus 參數設定為等於 ENABLED。
aws securityhub --region us-east-1'[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
