本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 還原至預設控制參數值
<a name="revert-default-parameter-values"></a>

控制參數可以具有 AWS Security Hub CSPM 定義的預設值。有時，Security Hub CSPM 會更新參數的預設值，以反映不斷變化的安全最佳實務。如果您尚未指定控制項參數的自訂值，控制項會自動追蹤這些更新，並使用新的預設值。

您可以還原為使用控制項的預設參數值。還原的指示取決於您是否在 Security Hub CSPM 中使用[中央組態](central-configuration-intro.md)。中央組態是一項功能，委派的 Security Hub CSPM 管理員可用來設定跨 AWS 區域帳戶和組織單位 (OUs) 的 Security Hub CSPM 功能。

**注意**  
並非所有控制參數都有預設的 Security Hub CSPM 值。在這種情況下，當 `ValueType` 設為 時`DEFAULT`，Security Hub CSPM 不會使用特定的預設值。相反地，如果沒有自訂值，Security Hub CSPM 會忽略 參數。

## 在多個帳戶和區域中還原為預設控制參數
<a name="revert-default-parameter-values-central-config"></a>

如果您使用中央組態，則可以還原主區域和連結區域中多個集中受管帳戶和 OUs 的控制參數。

選擇您偏好的方法，然後依照步驟，使用中央組態在多個帳戶和區域中還原為預設參數值。

------
#### [ Security Hub CSPM console ]

**在多個帳戶和區域中還原為預設控制參數值 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。

1. 在導覽窗格中，選擇**設定**和**組態**。

1. 選擇 **Policies (政策)** 標籤。

1. 選取政策，然後選擇**編輯**。

1. 在**自訂政策**下，**控制項**區段會顯示您指定自訂參數的控制項清單。

1. 尋找具有一或多個參數值要還原的控制項。然後，選擇**移除**以還原為預設值。

1. 在**帳戶**區段中，驗證您要套用政策的帳戶或 OUs。

1. 選擇**下一步**。

1. 檢閱您的變更，並確認其正確無誤。完成後，請選擇**儲存政策並套用**。在您的主要區域和所有連結區域中，此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。

------
#### [ Security Hub CSPM API ]

**還原至多個帳戶和區域中的預設控制參數值 (API)**

1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。

1. 針對 `Identifier` 欄位，提供您要更新之政策的 Amazon Resource Name (ARN) 或 ID。

1. 針對 `SecurityControlCustomParameters` 物件，提供您要還原一或多個參數之每個控制項的識別符。

1. 在 `Parameters` 物件中，針對您要還原的每個參數，`DEFAULT`為 `ValueType` 欄位提供 。當 `ValueType` 設為 時`DEFAULT`，您不需要為 `Value` 欄位提供值。如果您的請求中包含值，Security Hub CSPM 會忽略該值。如果您的請求省略 控制項支援的參數，則該參數會保留其目前值。

**警告**  
如果您省略 `SecurityControlCustomParameters` 欄位的控制項物件，Security Hub CSPM 會將控制項的所有自訂參數還原為其預設值。的完全空白清單會將所有控制項的自訂參數`SecurityControlCustomParameters`還原為其預設值。

例如，下列 AWS CLI 命令會將 的`daysToExpiration`控制參數還原`ACM.1`為指定組態政策中的預設值。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## 還原至單一帳戶和區域中的預設控制參數
<a name="revert-default-parameter-values-local-config"></a>

如果您不使用中央組態或擁有自我管理帳戶，您可以一次還原為在一個區域中使用帳戶的預設參數值。

選擇您偏好的方法，然後依照步驟還原為單一區域中您帳戶的預設參數值。若要在其他區域中還原為預設參數值，請在每個其他區域中重複這些步驟。

**注意**  
如果您停用 Security Hub CSPM，則會重設您的自訂控制參數。如果您未來再次啟用 Security Hub CSPM，所有控制項都會使用預設參數值來啟動。

------
#### [ Security Hub CSPM console ]

**還原至一個帳戶和區域中的預設控制參數值 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇**控制項**。選擇您要還原為預設參數值的控制項。

1. 在 `Parameters`索引標籤上，選擇控制項參數旁的**自訂**。然後，選擇**移除自訂**。此參數現在使用預設 Security Hub CSPM 值，並追蹤預設值的未來更新。

1. 針對您要還原的每個參數值，重複上述步驟。

------
#### [ Security Hub CSPM API ]

**還原至一個帳戶和區域中的預設控制參數值 (API)**

1. 叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API。

1. 針對 `SecurityControlId`，提供您要還原其參數之控制項的 ARN 或 ID。

1. 在 `Parameters` 物件中，針對您要還原的每個參數，`DEFAULT`為 `ValueType` 欄位提供 。當 `ValueType` 設為 時`DEFAULT`，您不需要為 `Value` 欄位提供值。如果您的請求中包含值，Security Hub CSPM 會忽略該值。

1. 或者，對於 `LastUpdateReason`，提供還原為預設參數值的原因。

例如，下列 AWS CLI 命令會將 的`daysToExpiration`控制參數還原`ACM.1`為其預設值。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------