本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立和關聯組態政策 委派的 AWS Security Hub CSPM 管理員帳戶可以建立組態政策,指定如何在指定的帳戶和組織單位 (OUs) 中設定 Security Hub CSPM、標準和控制項。只有在委派管理員將其與至少一個帳戶或組織單位 (OUs) 或根關聯之後,組態政策才會生效。委派管理員也可以將自我管理組態與帳戶、OUs 或根建立關聯。 如果這是您第一次建立組態政策,我們建議您先檢閱 [組態政策如何在 Security Hub CSPM 中運作](configuration-policies-overview.md)。 選擇您偏好的存取方法,並依照步驟建立和關聯組態政策或自我管理組態。使用 Security Hub CSPM 主控台時,您可以同時將組態與多個帳戶或 OUs建立關聯。使用 Security Hub CSPM API 或 時 AWS CLI,您在每個請求中只能將組態與一個帳戶或 OU 建立關聯。 **注意** 如果您使用中央組態,Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。您選擇在可用的所有區域中啟用組態政策時啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域,您可以更新 AWS Config 記錄器設定,並關閉主要區域以外的所有區域中的全域資源記錄。 如果主區域不支援涉及全域資源的已啟用控制項,Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態時,您無法涵蓋主要區域或任何連結區域中無法使用的控制項。 如需涉及全域資源的控制項清單,請參閱 [使用全域資源的控制項](controls-to-disable.md#controls-to-disable-global-resources)。 ------ #### [ Security Hub CSPM console ] **建立和關聯組態政策** 1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。 使用主要區域中委派 Security Hub CSPM 管理員帳戶的登入資料登入。 1. 在導覽窗格中,選擇**組態**和**政策**索引標籤。然後,選擇**建立政策**。 1. 在**設定組織**頁面上,如果這是您第一次建立組態政策,您會在**組態類型**下看到三個選項。如果您已建立至少一個組態政策,則只會看到**自訂政策**選項。 + 選擇**在整個組織中使用 AWS 建議的 Security Hub CSPM 組態**,以使用我們的建議政策。建議的政策會在所有組織帳戶中啟用 Security Hub CSPM、啟用 AWS 基礎安全最佳實務 (FSBP) 標準,以及啟用所有新的和現有的 FSBP 控制項。控制項使用預設參數值。 + 選擇**我尚未準備好進行設定**,以便稍後建立組態政策。 + 選擇**自訂政策**以建立自訂組態政策。指定是否啟用或停用 Security Hub CSPM、要啟用哪些標準,以及要跨這些標準啟用哪些控制項。或者,為支援[自訂參數的一或多個已啟用控制項指定自訂參數值](custom-control-parameters.md)。 1. 在**帳戶**區段中,選擇您要套用組態政策的目標帳戶、OUs 或根帳戶。 + 如果您想要將組態政策套用至根帳戶,請選擇**所有帳戶**。這包括組織中未套用或繼承其他政策的所有帳戶和 OUs。 + 如果您想要將組態政策套用至**特定帳戶**或 OUs請選擇特定帳戶。輸入帳戶 IDs,或從組織結構中選取帳戶和 OUs。建立政策時,您最多可以將政策套用至 15 個目標 (帳戶、OUs 或根目錄)。若要指定較大的數字,請在建立後編輯您的政策,並將其套用至其他目標。 + 選擇**委派管理員,僅**將組態政策套用至目前的委派管理員帳戶。 1. 選擇**下一步**。 1. 在**檢閱和套用**頁面上,檢閱您的組態政策詳細資訊。然後,選擇**建立政策並套用**。在您的主要區域和連結區域中,此動作會覆寫與此組態政策相關聯之帳戶的現有組態設定。帳戶可能會透過應用程式或從父節點繼承,與組態政策相關聯。套用目標的子帳戶和 OUs 將自動繼承此組態政策,除非明確排除、自我管理或使用不同的組態政策。 ------ #### [ Security Hub CSPM API ] **建立和關聯組態政策** 1. 從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API。 1. 針對 `Name`,提供組態政策的唯一名稱。或者,對於 `Description`,提供組態政策的描述。 1. 針對 `ServiceEnabled` 欄位,指定您希望在此組態政策中啟用或停用 Security Hub CSPM。 1. 針對 `EnabledStandardIdentifiers` 欄位,指定您要在此組態政策中啟用哪些 Security Hub CSPM 標準。 1. 針對 `SecurityControlsConfiguration` 物件,指定您要在此組態政策中啟用或停用哪些控制項。選擇 `EnabledSecurityControlIdentifiers` 表示已啟用指定的控制項。屬於已啟用標準 (包括新發佈的控制項) 的其他控制項已停用。選擇 `DisabledSecurityControlIdentifiers` 表示已停用指定的控制項。啟用屬於已啟用標準 (包括新發佈的控制項) 的其他控制項。 1. 或者,對於 `SecurityControlCustomParameters` 欄位,指定您要自訂參數的已啟用控制項。`CUSTOM` 為 `ValueType` 欄位提供 ,並為 `Value` 欄位提供自訂參數值。此值必須是正確的資料類型,且在 Security Hub CSPM 指定的有效範圍內。僅選取控制項支援自訂參數值。如需詳細資訊,請參閱[了解 Security Hub CSPM 中的控制參數](custom-control-parameters.md)。 1. 若要將組態政策套用至帳戶或 OUs,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。 1. 針對 `ConfigurationPolicyIdentifier` 欄位,提供政策的 Amazon Resource Name (ARN) 或通用唯一識別碼 (UUID)。`CreateConfigurationPolicy` API 會傳回 ARN 和 UUID。對於自我管理組態, `ConfigurationPolicyIdentifier` 欄位等於 `SELF_MANAGED_SECURITY_HUB`。 1. 針對 `Target` 欄位,提供您要套用此組態政策的 OU、帳戶或根 ID。每個 API 請求只能提供一個目標。所選目標的子帳戶和 OUs 將自動繼承此組態政策,除非它們是自我管理或使用不同的組態政策。 **建立組態政策的 API 請求範例:** ``` { "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } } ``` **建立組態政策關聯的 API 請求範例:** ``` { "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} } ``` ------ #### [ AWS CLI ] **建立和關聯組態政策** 1. 從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)命令。 1. 針對 `name`,提供組態政策的唯一名稱。或者,對於 `description`,提供組態政策的描述。 1. 針對 `ServiceEnabled` 欄位,指定您希望在此組態政策中啟用或停用 Security Hub CSPM。 1. 針對 `EnabledStandardIdentifiers` 欄位,指定您要在此組態政策中啟用哪些 Security Hub CSPM 標準。 1. 針對 `SecurityControlsConfiguration` 欄位,指定您要在此組態政策中啟用或停用哪些控制項。選擇 `EnabledSecurityControlIdentifiers` 表示已啟用指定的控制項。屬於已啟用標準 (包括新發佈的控制項) 的其他控制項已停用。選擇 `DisabledSecurityControlIdentifiers` 表示已停用指定的控制項。會啟用適用於已啟用標準 (包括新發佈的控制項) 的其他控制項。 1. 或者,對於 `SecurityControlCustomParameters` 欄位,指定您要自訂參數的已啟用控制項。`CUSTOM` 為 `ValueType` 欄位提供 ,並為 `Value` 欄位提供自訂參數值。此值必須是正確的資料類型,且在 Security Hub CSPM 指定的有效範圍內。僅選取控制項支援自訂參數值。如需詳細資訊,請參閱[了解 Security Hub CSPM 中的控制參數](custom-control-parameters.md)。 1. 若要將組態政策套用至帳戶或 OUs,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。 1. 針對 `configuration-policy-identifier` 欄位,提供組態政策的 Amazon Resource Name (ARN) 或 ID。此 ARN 和 ID 由 `create-configuration-policy`命令傳回。 1. 針對 `target` 欄位,提供您要套用此組態政策的 OU、帳戶或根 ID。每次執行命令時只能提供一個目標。所選目標的子項將自動繼承此組態政策,除非它們是自我管理或使用不同的組態政策。 **建立組態政策的範例命令:** ``` aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' ``` **建立組態政策關聯的範例命令:** ``` aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}' ``` ------ `StartConfigurationPolicyAssociation` API 會傳回名為 的欄位`AssociationStatus`。此欄位會告訴您政策關聯是待定還是處於成功或失敗狀態。狀態最多可能需要 24 小時才能從 變更為 `PENDING``SUCCESS`或 `FAILURE`。如需關聯狀態的詳細資訊,請參閱 [檢閱組態政策的關聯狀態](view-policy.md#configuration-association-status)。