本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 停用跨標準的控制項
我們建議跨標準停用 AWS Security Hub CSPM 控制,以在整個組織中保持一致。如果您僅在特定標準中停用控制項,如果在其他標準中啟用控制項,您仍會繼續收到控制項的問題清單。
## 多個帳戶和區域中的跨標準停用
若要停用多個 AWS 帳戶 和 之間的安全控制 AWS 區域,您必須使用[中央組態](central-configuration-intro.md)。
當您使用中央組態時,委派管理員可以建立 Security Hub CSPM 組態政策,以停用跨啟用標準指定的控制項。然後,您可以將組態政策與特定帳戶、OUs 或根帳戶建立關聯。組態政策會在您的主要區域 (也稱為彙總區域) 和所有連結區域生效。
組態政策提供自訂功能。例如,您可以選擇停用一個 OU 中的所有 AWS CloudTrail 控制項,也可以選擇停用另一個 OU 中的所有 IAM 控制項。精細程度取決於組織中安全涵蓋範圍的預期目標。如需建立停用跨標準指定控制項之組態政策的說明,請參閱 [建立和關聯組態政策](create-associate-policy.md)。
**注意**
委派管理員可以建立組態政策,以管理[服務受管標準以外的所有標準中的控制項: AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)此標準的控制項應在 AWS Control Tower 服務中設定。
如果您希望某些帳戶設定自己的控制項,而不是委派管理員,委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定控制項。
## 單一帳戶和區域中的跨標準停用
如果您不使用中央組態或 是自我管理帳戶,則無法使用組態政策來集中停用多個帳戶和區域中的控制項。不過,您可以在單一帳戶和區域中停用控制項。
------
#### [ Security Hub CSPM console ]
**停用一個帳戶和區域中跨標準的控制項**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 從導覽窗格中選擇**控制項**。
1. 選擇控制項旁的選項。
1. 選擇**停用控制**。此選項不會針對已停用的控制項顯示。
1. 選取停用控制項的原因,然後選擇**停用**以確認。
1. 在您要停用控制項的每個區域中重複此動作。
------
#### [ Security Hub CSPM API ]
**停用一個帳戶和區域中跨標準的控制項**
1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控制 ID。
**請求範例:**
```
{
"SecurityControlId": "{{IAM.1}}"
}
```
1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供啟用控制項的任何標準的 ARN。若要取得標準 ARNs,請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。
1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟,API 會傳回 HTTP 狀態碼 200 回應。
**請求範例:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "{{IAM.1}}", "StandardsArn": "arn:aws:securityhub:::{{ruleset/cis-aws-foundations-benchmark/v/1.2.0}}", "AssociationStatus": "DISABLED", "UpdatedReason": "{{Not applicable to environment}}"}, {"SecurityControlId": "{{IAM.1}}", "StandardsArn": "arn:aws:securityhub:::{{standards/aws-foundational-security-best-practices/v/1.0.0}}", "AssociationStatus": "DISABLED", "UpdatedReason": "{{Not applicable to environment}}"}}]
}
```
1. 在您要停用控制項的每個區域中重複此動作。
------
#### [ AWS CLI ]
**停用一個帳戶和區域中跨標準的控制項**
1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控制 ID。
```
aws securityhub --region {{us-east-1}} list-standards-control-associations --security-control-id {{CloudTrail.1}}
```
1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供啟用控制項的任何標準的 ARN。若要取得標準 ARNs,請執行 `describe-standards`命令。
1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟,命令會傳回 HTTP 狀態碼 200 回應。
```
aws securityhub --region {{us-east-1}} batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "{{CloudTrail.1}}", "StandardsArn": "{{arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0}}", "AssociationStatus": "DISABLED", "UpdatedReason": "{{Not applicable to environment}}"}, {"SecurityControlId": "{{CloudTrail.1}}", "StandardsArn": "{{arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0}}", "AssociationStatus": "DISABLED", "UpdatedReason": "{{Not applicable to environment}}"}]'
```
1. 在您要停用控制項的每個區域中重複此動作。
------