本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 啟用跨標準的控制
我們建議在套用控制項的所有標準中啟用 AWS Security Hub CSPM 控制。如果您開啟合併的控制項問題清單,即使控制項屬於多個標準,每個控制項檢查也會收到一個問題清單。
## 多帳戶、多區域環境中的跨標準啟用
若要跨多個 AWS 帳戶 和 啟用安全控制 AWS 區域,您必須登入委派的 Security Hub CSPM 管理員帳戶,並使用[中央組態](central-configuration-intro.md)。
在中央組態下,委派管理員可以建立 Security Hub CSPM 組態政策,以跨已啟用的標準啟用指定的控制項。然後,您可以將組態政策與特定帳戶和組織單位 (OUs或根建立關聯。組態政策會在您的主要區域 (也稱為彙總區域) 和所有連結區域生效。
組態政策提供自訂功能。例如,您可以選擇在一個 OU 中啟用所有控制項,也可以選擇在另一個 OU 中僅啟用 Amazon Elastic Compute Cloud (EC2) 控制項。精細程度取決於組織中安全涵蓋範圍的預期目標。如需建立啟用跨標準指定控制項之組態政策的說明,請參閱 [建立和關聯組態政策](create-associate-policy.md)。
**注意**
委派管理員可以建立組態政策,以管理[服務受管標準以外的所有標準中的控制項: AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)此標準的控制項應在 AWS Control Tower 服務中設定。
如果您希望某些帳戶設定自己的控制項,而不是委派管理員,委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定控制項。
## 單一帳戶和區域中的跨標準啟用
如果您不使用中央組態或 是自我管理帳戶,則無法使用組態政策在多個帳戶和區域中集中啟用控制項。不過,您可以使用下列步驟,在單一帳戶和區域中啟用控制項。
------
#### [ Security Hub CSPM console ]
**在一個帳戶和區域中啟用跨標準的控制**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 從導覽窗格中選擇**控制項**。
1. 選擇**已停用**索引標籤。
1. 選擇控制項旁的選項。
1. 選擇**啟用控制** (此選項不會針對已啟用的控制項顯示)。
1. 在您要啟用控制項的每個區域中重複此步驟。
------
#### [ Security Hub CSPM API ]
**在一個帳戶和區域中啟用跨標準的控制**
1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控制 ID。
**請求範例:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs,請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。
1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。如果您針對已啟用的控制項遵循這些步驟,API 會傳回 HTTP 狀態碼 200 回應。
**請求範例:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
```
1. 在您要啟用控制項的每個區域中重複此步驟。
------
#### [ AWS CLI ]
**在一個帳戶和區域中啟用跨標準的控制**
1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控制 ID。
```
aws securityhub --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
```
1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs,請執行 `describe-standards`命令。
1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。如果您針對已啟用的控制項遵循這些步驟,命令會傳回 HTTP 狀態碼 200 回應。
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
```
1. 在您要啟用控制項的每個區域中重複此步驟。
------