本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 停用安全標準
<a name="disable-standards"></a>

當您在 AWS Security Hub CSPM 中停用安全標準時，會發生下列情況：
+ 套用至標準的所有控制項都會停用，除非它們與目前啟用的另一個標準相關聯。
+ 不再執行已停用控制項的安全檢查，也不會為已停用的控制項產生其他問題清單。
+ 停用控制項的現有問題清單會在大約 3-5 天後自動封存。
+ AWS Config 刪除 Security Hub CSPM 為已停用控制項建立的規則。

刪除適當的 AWS Config 規則通常會在停用標準的幾分鐘內發生。不過，這可能需要更長的時間。如果第一個請求無法刪除規則，Security Hub CSPM 會每 12 小時重試一次。不過，如果您停用 Security Hub CSPM 或未啟用任何其他標準，Security Hub CSPM 將無法重試，這表示它無法刪除規則。如果發生這種情況，而且您需要刪除規則，請聯絡 AWS 支援。

**Topics**
+ [在多個帳戶和 中停用標準 AWS 區域](#disable-standards-central-configuration)
+ [在單一帳戶和 中停用標準 AWS 區域](#securityhub-standard-disable-console)

## 在多個帳戶和 中停用標準 AWS 區域
<a name="disable-standards-central-configuration"></a>

若要停用多個帳戶和 之間的安全標準 AWS 區域，請使用[中央組態](central-configuration-intro.md)。透過中央組態，委派的 Security Hub CSPM 管理員可以建立停用一或多個標準的 Security Hub CSPM 組態政策。然後，管理員可以將組態政策與個別帳戶、組織單位 (OUs) 或根帳戶建立關聯。組態政策會影響主要區域，也稱為*彙總區域*和所有連結的區域。

組態政策提供自訂選項。例如，您可以選擇在一個 OU 中停用支付卡產業資料安全標準 (PCI DSS)。對於另一個 OU，您可以選擇停用 PCI DSS 和國家標準技術研究所 (NIST) SP 800-53 修訂版 5 標準。如需有關建立啟用或停用您指定之個別標準的組態政策的資訊，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

**注意**  
Security Hub CSPM 管理員可以使用組態政策來停用[AWS Control Tower 服務受管標準以外的任何標準](service-managed-standard-aws-control-tower.md)。若要停用此標準，管理員必須 AWS Control Tower 直接使用 。他們還必須使用 AWS Control Tower 來停用或啟用集中管理帳戶在此標準中的個別控制項。

如果您希望某些帳戶為自己的帳戶設定或停用標準，Security Hub CSPM 管理員可以將這些帳戶指定為*自我管理帳戶*。自我管理帳戶必須在每個區域中分別停用標準。

## 在單一帳戶和 中停用標準 AWS 區域
<a name="securityhub-standard-disable-console"></a>

如果您不使用中央組態或擁有自我管理帳戶，則無法使用組態政策來集中停用多個帳戶或 中的安全標準 AWS 區域。不過，您可以在單一帳戶和區域中停用標準。您可以使用 Security Hub CSPM 主控台或 Security Hub CSPM API 來執行此操作。

------
#### [ Security Hub CSPM console ]

請依照下列步驟，使用 Security Hub CSPM 主控台停用一個帳戶和區域中的標準。

**停用一個帳戶和區域中的標準**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要停用標準的區域。

1. 在導覽窗格中，選擇**安全標準**。

1. 在您要停用的標準區段中，選擇**停用標準**。

若要在其他區域中停用標準，請在每個其他區域中重複上述步驟。

------
#### [ Security Hub CSPM API ]

若要在單一帳戶和區域中以程式設計方式停用標準，請使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html)操作。或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)命令。

在您的請求中，使用 `StandardsSubscriptionArns` 參數來指定您要停用之標準的 Amazon Resource Name (ARN)。如果您使用的是 AWS CLI，請使用 `standards-subscription-arns` 參數來指定 ARN。同時指定您的請求套用的區域。例如，下列命令會停用 帳戶 (*123456789012*) AWS 的基礎安全最佳實務 (FSBP) 標準：

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

其中 *arn：aws：securityhub：us-east-1：123456789012：subscription/aws-foundational-security-best-practices/v/1.0.0* 是美國東部 （維吉尼亞北部） 區域中帳戶的 FSBP 標準的 ARN，而 *us-east-1* 是要在其中停用它的區域。

若要取得標準的 ARN，您可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)操作。此操作會擷取目前在您帳戶中啟用之標準的相關資訊。如果您使用的是 AWS CLI，您可以執行 [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) 命令來擷取此資訊。

------

停用標準之後，Security Hub CSPM 會開始執行任務，以停用帳戶和指定區域中的標準。這包括停用適用於標準的所有控制項。若要監控這些任務的狀態，您可以[檢查帳戶和區域的標準狀態](enable-standards.md#standard-subscription-status)。