本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解 Security Hub CSPM 中的控制參數
AWS Security Hub CSPM 中的某些控制項使用會影響控制項評估方式的參數。一般而言,這類控制項會根據 Security Hub CSPM 定義的預設參數值進行評估。不過,對於這些控制項的子集,您可以修改參數值。當您修改控制項參數值時,Security Hub CSPM 會開始針對您指定的值評估控制項。如果控制項基礎的資源滿足自訂值,Security Hub CSPM 會產生`PASSED`問題清單。如果資源不符合自訂值,Security Hub CSPM 會產生`FAILED`問題清單。
透過自訂控制參數,您可以精簡 Security Hub CSPM 建議和監控的安全最佳實務,以符合您的業務需求和安全期望。您可以自訂一個或多個參數來取得符合您安全需求的調查結果,而不是隱藏控制項的問題清單。
以下是修改控制參數和設定自訂值的一些範例使用案例:
+ **【CloudWatch.16] – CloudWatch 日誌群組應保留一段指定的時間**
您可以指定保留期間。
+ **【IAM.7】 – IAM 使用者的密碼政策應具有強大的組態**
您可以指定與密碼強度相關的參數。
+ **【EC2.18】 – 安全群組應僅允許授權連接埠不受限制的傳入流量**
您可以指定授權哪些連接埠允許不受限制的傳入流量。
+ **【Lambda.5】 – VPC Lambda 函數應在多個可用區域中運作**
您可以指定產生傳遞調查結果的可用區域數量下限。
本節涵蓋修改控制參數時要考量的事項。
## 修改控制參數值的效果
當您變更參數值時,也會觸發新的安全檢查,根據新值評估控制項。然後,Security Hub CSPM 會根據新值產生新的控制調查結果。在控制問題清單的定期更新期間,Security Hub CSPM 也會使用新的參數值。如果您變更控制項的參數值,但尚未啟用包含控制項的任何標準,Security Hub CSPM 不會使用新值執行任何安全檢查。您必須為 Security Hub CSPM 啟用至少一個相關標準,才能根據新的參數值評估控制項。
控制項可以有一或多個可自訂的參數。每個控制參數的可能資料類型包括下列項目:
+ Boolean
+ Double
+ 列舉
+ EnumList
+ Integer
+ IntegerList
+ String
+ StringList
自訂參數值適用於已啟用的標準。您無法自訂目前區域中不支援之控制項的參數。如需個別控制項的區域限制清單,請參閱 [Security Hub CSPM 控制項的區域限制](regions-controls.md)。
對於某些控制項,可接受的參數值必須落在指定的範圍內才有效。在這些情況下,Security Hub CSPM 會提供可接受的範圍。
Security Hub CSPM 選擇預設參數值,偶爾可能會更新它們。自訂控制參數之後,其值會繼續是您為參數指定的值,除非您變更它。也就是說,即使 參數的自訂值符合 Security Hub CSPM 定義的目前預設值, 參數仍會停止追蹤預設 Security Hub CSPM 值的更新。以下是控制項 **【ACM.1】 的範例 – 匯入和 ACM 發行的憑證應在指定的時段後續約**:
```
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 30
}
}
}
}
```
在上述範例中, `daysToExpiration` 參數的自訂值為 `30`。此參數目前的預設值也是 `30`。如果 Security Hub CSPM 將預設值變更為 `14`,則此範例中的 參數不會追蹤該變更。它將保留 的值`30`。
如果您想要追蹤參數的預設 Security Hub CSPM 值的更新,請將 `ValueType` 欄位設定為 ,`DEFAULT`而不是 `CUSTOM`。如需詳細資訊,請參閱[還原至單一帳戶和區域中的預設控制參數](revert-default-parameter-values.md#revert-default-parameter-values-local-config)。
## 支援自訂參數的控制項
如需支援自訂參數的安全控制清單,請參閱 Security Hub CSPM 主控台的**控制**頁面或 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。若要以程式設計方式擷取此清單,您可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)操作。在回應中, `CustomizableProperties` 物件會指出哪些控制項支援可自訂的參數。
# 檢閱目前的控制項參數值
修改控制參數之前,了解控制參數的目前值會很有幫助。
您可以檢閱帳戶中個別控制參數的目前值。如果您使用中央組態,委派的 AWS Security Hub CSPM 管理員也可以檢閱組態政策中指定的參數值。
選擇您偏好的方法,然後依照步驟檢閱目前的控制參數值。
------
#### [ Security Hub CSPM console ]
**若要檢閱目前的控制參數值 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**控制項**。選擇控制項。
1. 選擇**參數**索引標籤。此標籤顯示控制項目前的參數值。
------
#### [ Security Hub CSPM API ]
**若要檢閱目前的控制參數值 (API)**
叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) API,並提供一或多個安全控制 IDs或 ARNs。回應中的 `Parameters` 物件會顯示指定控制項的目前參數值。
例如,下列 AWS CLI 命令會顯示 `APIGatway.1`、 `CloudWatch.15`和 的目前參數值`IAM.7`。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```
------
選擇您偏好的方法,以檢視中央組態政策中的目前參數值。
------
#### [ Security Hub CSPM console ]
**若要檢閱組態政策中的目前控制參數值 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。
1. 在導覽窗格中,選擇**設定**和**組態**。
1. 在**政策**索引標籤上,選取組態政策,然後選擇**檢視詳細資訊**。政策詳細資訊隨即出現,包括目前的參數值。
------
#### [ Security Hub CSPM API ]
**若要檢閱組態政策 (API) 中的目前控制參數值**
1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) API。
1. 提供您要查看其詳細資訊之組態政策的 ARN 或 ID。回應包含目前的參數值。
例如,下列 AWS CLI 命令會在指定的組態政策中擷取目前的控制參數值。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
控制調查結果也包含控制參數的目前值。在 中[AWS 安全調查結果格式 (ASFF)](securityhub-findings-format.md),這些值會出現在 `Compliance` 物件的 `Parameters` 欄位中。若要檢閱 Security Hub CSPM 主控台上的問題清單,請在導覽窗格中選擇**問題清單**。若要以程式設計方式檢閱問題清單,請使用 Security Hub CSPM API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)的操作。
# 自訂控制參數值
自訂控制參數的指示會根據您是否在 AWS Security Hub CSPM 中使用[中央組態](central-configuration-intro.md)而有所不同。中央組態是一項功能,委派的 Security Hub CSPM 管理員可用來設定跨 AWS 區域帳戶和組織單位 (OUs) 的 Security Hub CSPM 功能。
如果您的組織使用中央組態,委派管理員可以建立包含自訂控制參數的組態政策。這些政策可以與集中管理的成員帳戶和 OUs 相關聯,它們在您的主要區域和所有連結區域中生效。委派管理員也可以將一或多個帳戶指定為自我管理,讓帳戶擁有者在每個區域中分別設定自己的參數。如果您的組織不使用中央組態,您必須在每個帳戶和區域中分別自訂控制參數。
我們建議您使用中央組態,因為它可讓您跨組織的不同部分調整控制參數值。例如,所有測試帳戶可能會使用特定參數值,而所有生產帳戶可能會使用不同的值。
## 在多個帳戶和區域中自訂控制參數
如果您是使用中央組態之組織的委派 Security Hub CSPM 管理員,請選擇您偏好的方法,然後依照步驟自訂跨多個帳戶和區域的控制參數。
------
#### [ Security Hub CSPM console ]
**在多個帳戶和區域中自訂控制參數值 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
確保您已登入主區域。
1. 在導覽窗格中,選擇**設定**和**組態**。
1. 選擇 **Policies (政策)** 標籤。
1. 若要建立新的包含自訂參數的組態政策,請選擇**建立政策**。若要在現有組態政策中指定自訂參數,請選取政策,然後選擇**編輯**。
**使用自訂控制參數值建立新的組態政策**
1. 在**自訂政策**區段中,選擇您要啟用的安全標準和控制項。
1. 選取**自訂控制參數**。
1. 選取控制項,然後指定一或多個參數的自訂值。
1. 若要自訂更多控制項的參數,請選擇**自訂其他控制項**。
1. 在**帳戶**區段中,選取要套用政策的帳戶或 OUs。
1. 選擇**下一步**。
1. 選擇**建立政策並套用**。在您的主要區域和所有連結區域中,此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。
**在現有組態政策中自訂控制參數值**
1. 在**控制項**區段的**自訂政策**下,指定您想要的新自訂參數值。
1. 如果這是您第一次在此政策中自訂控制參數,請選取**自訂控制參數**,然後選取要自訂的控制項。若要自訂更多控制項的參數,請選擇**自訂其他控制項**。
1. 在**帳戶**區段中,驗證您要套用政策的帳戶或 OUs。
1. 選擇**下一步**。
1. 檢閱您的變更,並確認其正確無誤。完成後,請選擇**儲存政策並套用**。在您的主要區域和所有連結區域中,此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。
------
#### [ Security Hub CSPM API ]
**在多個帳戶和區域中自訂控制參數值 (API)**
**使用自訂控制參數值建立新的組態政策**
1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API。
1. 針對 `SecurityControlCustomParameters` 物件,提供您要自訂之每個控制項的識別符。
1. 針對 `Parameters` 物件,提供您要自訂的每個參數的名稱。針對您自訂的每個參數,提供 `CUSTOM`給 `ValueType`。對於 `Value`,請提供 參數的資料類型和自訂值。當 `ValueType`為 時, `Value` 欄位不可為空白`CUSTOM`。如果您的請求省略 控制項支援的參數,則該參數會保留其目前值。您可以透過叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API 來尋找控制項支援的參數、資料類型和有效值。
**在現有組態政策中自訂控制參數值**
1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。
1. 針對 `Identifier` 欄位,提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。
1. 針對 `SecurityControlCustomParameters` 物件,提供您要自訂之每個控制項的識別符。
1. 針對 `Parameters` 物件,提供您要自訂的每個參數的名稱。針對您自訂的每個參數,提供 `CUSTOM`給 `ValueType`。對於 `Value`,請提供 參數的資料類型和自訂值。如果您的請求省略 控制項支援的參數,則該參數會保留其目前值。您可以叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API 來尋找控制項支援的參數、資料類型和有效值。
例如,下列 AWS CLI 命令會為 `daysToExpiration` 參數建立具有自訂值的新組態政策`ACM.1`。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```
------
## 在單一帳戶和區域中自訂控制參數
如果您不使用中央組態或擁有自我管理帳戶,您一次只能在一個區域中自訂帳戶的控制參數。
選擇您偏好的方法,然後依照步驟自訂控制參數。您的變更僅適用於目前區域中的帳戶。若要在其他區域中自訂控制參數,請在您要自訂參數的每個其他帳戶和區域中重複下列步驟。相同的控制項可以在不同的區域中使用不同的參數值。
------
#### [ Security Hub CSPM console ]
**在一個帳戶和區域中自訂控制參數值 (主控台)**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**控制項**。在表格中,選擇支援自訂參數且您想要變更參數的控制項。**自訂參數**欄指出哪些控制項支援自訂參數。
1. 在控制項的詳細資訊頁面上,選擇**參數**索引標籤,然後選擇**編輯**。
1. 指定您想要的參數值。
1. 或者,在**變更原因**區段中,選取自訂參數的原因。
1. 選擇**儲存**。
------
#### [ Security Hub CSPM API ]
**在一個帳戶和區域中自訂控制參數值 (API)**
1. 叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API。
1. 針對 `SecurityControlId`,提供您要自訂之控制項的 ID。
1. 針對 `Parameters` 物件,提供您要自訂的每個參數的名稱。針對您自訂的每個參數,提供 `CUSTOM`給 `ValueType`。對於 `Value`,請提供 參數的資料類型和自訂值。如果您的請求省略 控制項支援的參數,則該參數會保留其目前值。您可以透過叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API 來尋找控制項支援的參數、資料類型和有效值。
1. 或者,對於 `LastUpdateReason`,提供自訂控制參數的原因。
例如,下列 AWS CLI 命令會定義 `daysToExpiration` 參數的自訂值`ACM.1`。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```
------
# 還原至預設控制參數值
控制參數可以具有 AWS Security Hub CSPM 定義的預設值。有時,Security Hub CSPM 會更新參數的預設值,以反映不斷變化的安全最佳實務。如果您尚未指定控制項參數的自訂值,控制項會自動追蹤這些更新,並使用新的預設值。
您可以還原為使用控制項的預設參數值。還原的指示取決於您是否在 Security Hub CSPM 中使用[中央組態](central-configuration-intro.md)。中央組態是一項功能,委派的 Security Hub CSPM 管理員可用來設定跨 AWS 區域帳戶和組織單位 (OUs) 的 Security Hub CSPM 功能。
**注意**
並非所有控制參數都有預設的 Security Hub CSPM 值。在這種情況下,當 `ValueType` 設為 時`DEFAULT`,Security Hub CSPM 不會使用特定的預設值。相反地,如果沒有自訂值,Security Hub CSPM 會忽略 參數。
## 在多個帳戶和區域中還原為預設控制參數
如果您使用中央組態,則可以還原主區域和連結區域中多個集中受管帳戶和 OUs 的控制參數。
選擇您偏好的方法,然後依照步驟,使用中央組態在多個帳戶和區域中還原為預設參數值。
------
#### [ Security Hub CSPM console ]
**在多個帳戶和區域中還原為預設控制參數值 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。
1. 在導覽窗格中,選擇**設定**和**組態**。
1. 選擇 **Policies (政策)** 標籤。
1. 選取政策,然後選擇**編輯**。
1. 在**自訂政策**下,**控制項**區段會顯示您指定自訂參數的控制項清單。
1. 尋找具有一或多個參數值要還原的控制項。然後,選擇**移除**以還原為預設值。
1. 在**帳戶**區段中,驗證您要套用政策的帳戶或 OUs。
1. 選擇**下一步**。
1. 檢閱您的變更,並確認其正確無誤。完成後,請選擇**儲存政策並套用**。在您的主要區域和所有連結區域中,此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。
------
#### [ Security Hub CSPM API ]
**還原至多個帳戶和區域中的預設控制參數值 (API)**
1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。
1. 針對 `Identifier` 欄位,提供您要更新之政策的 Amazon Resource Name (ARN) 或 ID。
1. 針對 `SecurityControlCustomParameters` 物件,提供您要還原一或多個參數之每個控制項的識別符。
1. 在 `Parameters` 物件中,針對您要還原的每個參數,`DEFAULT`為 `ValueType` 欄位提供 。當 `ValueType` 設為 時`DEFAULT`,您不需要為 `Value` 欄位提供值。如果您的請求中包含值,Security Hub CSPM 會忽略該值。如果您的請求省略 控制項支援的參數,則該參數會保留其目前值。
**警告**
如果您省略 `SecurityControlCustomParameters` 欄位的控制項物件,Security Hub CSPM 會將控制項的所有自訂參數還原為其預設值。的完全空白清單會將所有控制項的自訂參數`SecurityControlCustomParameters`還原為其預設值。
例如,下列 AWS CLI 命令會將 的`daysToExpiration`控制參數還原`ACM.1`為指定組態政策中的預設值。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```
------
## 還原至單一帳戶和區域中的預設控制參數
如果您不使用中央組態或擁有自我管理帳戶,您可以一次還原為在一個區域中使用帳戶的預設參數值。
選擇您偏好的方法,然後依照步驟還原為單一區域中您帳戶的預設參數值。若要在其他區域中還原為預設參數值,請在每個其他區域中重複這些步驟。
**注意**
如果您停用 Security Hub CSPM,則會重設您的自訂控制參數。如果您未來再次啟用 Security Hub CSPM,所有控制項都會使用預設參數值來啟動。
------
#### [ Security Hub CSPM console ]
**還原至一個帳戶和區域中的預設控制參數值 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**控制項**。選擇您要還原為預設參數值的控制項。
1. 在 `Parameters`索引標籤上,選擇控制項參數旁的**自訂**。然後,選擇**移除自訂**。此參數現在使用預設 Security Hub CSPM 值,並追蹤預設值的未來更新。
1. 針對您要還原的每個參數值,重複上述步驟。
------
#### [ Security Hub CSPM API ]
**還原至一個帳戶和區域中的預設控制參數值 (API)**
1. 叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API。
1. 針對 `SecurityControlId`,提供您要還原其參數之控制項的 ARN 或 ID。
1. 在 `Parameters` 物件中,針對您要還原的每個參數,`DEFAULT`為 `ValueType` 欄位提供 。當 `ValueType` 設為 時`DEFAULT`,您不需要為 `Value` 欄位提供值。如果您的請求中包含值,Security Hub CSPM 會忽略該值。
1. 或者,對於 `LastUpdateReason`,提供還原為預設參數值的原因。
例如,下列 AWS CLI 命令會將 的`daysToExpiration`控制參數還原`ACM.1`為其預設值。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```
------
# 檢查控制參數變更的狀態
當您嘗試自訂控制參數或還原為預設值時,您可以驗證所需的變更是否有效。這有助於確保控制項如您預期般運作,並提供預期的安全值。如果參數更新失敗,Security Hub CSPM 會保留 參數的目前值。
若要驗證參數更新是否成功,您可以在 Security Hub CSPM 主控台上檢閱控制項的詳細資訊。在 主控台上,選擇導覽窗格中的**控制項**。然後,選擇控制項以顯示其詳細資訊。**參數**索引標籤會顯示參數變更的狀態。
以程式設計方式,如果您更新參數的請求有效, `UpdateStatus` 欄位的值會`UPDATING`回應 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)操作。這表示更新有效,但所有調查結果可能尚未包含更新的參數值。當 的值`UpdateState`變更為 時`READY`,Security Hub CSPM 會在執行控制項的安全檢查時使用更新的控制項參數值。調查結果包含更新的參數值。
`UpdateSecurityControl` 操作會傳回無效參數值的`InvalidInputException`回應。回應提供失敗原因的其他詳細資訊。例如,您可能已指定超出參數有效範圍的值。或者,您可能已指定未使用正確資料類型的值。使用有效的輸入再次提交您的請求。
如果您嘗試更新參數值時發生內部故障,則如果您 AWS Config 已啟用,Security Hub CSPM 會自動重試。如需詳細資訊,請參閱[啟用和設定 之前的考量事項 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)。