啟用跨標準的控制 - AWS Security Hub
多帳戶、多區域環境中的跨標準啟用單一帳戶和區域中的跨標準啟用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用跨標準的控制

我們建議在 AWS Security Hub 控制項套用的所有標準中啟用控制項。如果您開啟合併的控制項調查結果,即使控制項屬於多個標準,您也會在每次控制項檢查收到一個調查結果。

多帳戶、多區域環境中的跨標準啟用

若要跨多個 AWS 帳戶 和 啟用安全控制 AWS 區域,您必須登入委派的 Security Hub 管理員帳戶,並使用中央組態

在中央組態下,委派的管理員可以建立 Security Hub 組態政策,以跨已啟用的標準啟用指定的控制項。然後,您可以將組態政策與特定帳戶和組織單位 (OUs) 或根建立關聯。組態政策會在您的主區域 (也稱為彙總區域) 和所有連結區域生效。

組態政策提供自訂功能。例如,您可以選擇在一個 OU 中啟用所有控制項,也可以選擇在另一個 OU 中僅啟用 Amazon Elastic Compute Cloud (EC2) 控制項。精細程度取決於您組織中安全涵蓋範圍的預期目標。如需建立啟用跨標準指定控制項之組態政策的指示,請參閱 建立和關聯組態政策

注意

委派的管理員可以建立組態政策,以管理服務受管標準以外的所有標準中的控制項: AWS Control Tower。此標準的控制項應在 AWS Control Tower 服務中設定。

如果您想要某些帳戶設定自己的控制項,而不是委派的管理員,委派的管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定控制項。

單一帳戶和區域中的跨標準啟用

如果您不使用中央組態或 是自我管理帳戶,則無法使用組態政策在多個帳戶和區域中集中啟用控制項。不過,您可以使用下列步驟在單一帳戶和區域中啟用控制項。

Security Hub console
在一個帳戶和區域中啟用跨標準的控制

  1. 在 開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

  2. 從導覽窗格中選擇控制項

  3. 選擇已停用索引標籤。

  4. 選擇控制項旁的選項。

  5. 選擇啟用控制 (此選項不會針對已啟用的控制顯示)。

  6. 在您要啟用控制項的每個區域中重複 。

Security Hub API
在一個帳戶和區域中啟用跨標準的控制

  1. 叫用 ListStandardsControlAssociations API。提供安全控制 ID。

    請求範例:

    {
    "SecurityControlId": "IAM.1"
}

  2. 叫用 BatchUpdateStandardsControlAssociations API。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs,請執行 DescribeStandards

  3. AssociationStatus 參數設定為等於 ENABLED。如果您針對已啟用的控制項遵循這些步驟, 會API傳回HTTP狀態碼 200 回應。

    請求範例:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. 在您要啟用控制項的每個區域中重複 。

AWS CLI
在一個帳戶和區域中啟用跨標準的控制

  1. 執行 list-standards-control-associations 命令。提供安全控制 ID。

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. 執行 batch-update-standards-control-associations 命令。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs,請執行 describe-standards命令。

  3. AssociationStatus 參數設定為等於 ENABLED。如果您針對已啟用的控制項遵循這些步驟,命令會傳回HTTP狀態碼 200 回應。

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. 在您要啟用控制項的每個區域中重複 。