在 Security Hub 中停用安全標準 - AWS Security Hub
在多個帳戶和區域中停用標準在單一帳戶和區域中停用標準

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Hub 中停用安全標準

當您在 Security Hub 中停用安全標準時,會發生以下情況:

  • 適用於標準的所有控制項也會停用,除非它們與另一個標準相關聯。

  • 不再執行停用控制項的檢查,也不會為停用控制項產生其他調查結果。

  • 停用控制項的現有調查結果會在大約 3–5 天後自動封存。

  • 會移除 Security Hub 為停用控制項建立的 AWS Config 規則。

    這通常會在您停用標準後幾分鐘內發生,但可能需要更長的時間。如果第一個刪除 AWS Config 規則的請求失敗,則 Security Hub 會每 12 小時重試一次。但是,如果您停用 Security Hub 或沒有啟用任何其他標準,則 Security Hub 無法重試請求,這意味著它無法刪除 AWS Config 規則。如果發生這種情況,而且您需要刪除 AWS Config 規則,請聯絡 AWS Support。

在多個帳戶和區域中停用標準

若要停用多個帳戶和區域的安全標準,您必須使用中央組態

當您使用中央組態時,委派的管理員可以建立停用一或多個標準的組態政策。您可以將組態政策與特定帳戶和 OUs 或根建立關聯。組態政策會在您的主區域 (也稱為彙總區域) 和所有連結區域生效。

組態政策提供自訂功能。例如,您可以選擇在一個 OU 中停用支付卡產業資料安全標準 (PCI DSS),並且可以選擇停用另一個 OU 中的 PCIDSS和國家標準技術研究所 (NIST) SP 800-53 修訂版 5。如需建立停用指定標準的組態政策的說明,請參閱 建立和關聯組態政策

注意

委派的管理員可以建立組態政策,以停用服務受管標準以外的任何標準: AWS Control Tower。您只能在 AWS Control Tower 服務中停用此標準。如果您使用中央組態,則只能在 中為集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。

如果您想要某些帳戶設定自己的標準,而不是委派的管理員,委派的管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定標準。

在單一帳戶和區域中停用標準

如果您不使用中央組態或 是自我管理帳戶,則無法使用組態政策集中停用多個帳戶和區域中的標準。不過,您可以使用下列步驟停用單一帳戶和區域中的標準。

Security Hub console
停用一個帳戶和區域中的標準

  1. 在 開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

  2. 確認您在想要停用標準的區域中使用 Security Hub。

  3. 在 Security Hub 導覽窗格中,選擇安全標準

  4. 針對您要停用的標準,選擇 Disable (停用)

  5. 在您要停用標準的每個區域中重複上述動作。

Security Hub API
停用一個帳戶和區域中的標準

  1. 叫用 BatchDisableStandards API.

  2. 針對您要停用的每個標準,提供標準訂閱 ARN。若要取得ARNs已啟用標準的訂閱,請叫用 GetEnabledStandards API.

  3. 在您要停用標準的每個區域中重複上述動作。

AWS CLI
停用一個帳戶和區域中的標準

  1. 執行 batch-disable-standards 命令。

  2. 針對您要停用的每個標準,提供標準訂閱 ARN。若要取得ARNs已啟用標準的訂閱,請執行 get-enabled-standards 命令。

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    範例

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. 在您要停用標準的每個區域中重複上述動作。