本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 啟用 Security Hub CSPM
有兩種方式可整合 AWS Organizations 或 手動啟用 AWS Security Hub CSPM。
強烈建議在多帳戶和多區域環境中與 Organizations 整合。如果您有獨立帳戶,則必須手動設定 Security Hub CSPM。
## 驗證必要的許可
註冊 Amazon Web Services (AWS) 之後,您必須啟用 Security Hub CSPM 才能使用其功能。若要啟用 Security Hub CSPM,您必須先設定允許您存取 Security Hub CSPM 主控台和 API 操作的許可。您或您的 AWS 管理員可以使用 AWS Identity and Access Management (IAM) 將名為 的 AWS 受管政策連接到`AWSSecurityHubFullAccess`您的 IAM 身分,以執行此操作。
若要透過 Organizations 整合啟用和管理 Security Hub CSPM,您也應該連接名為 的 AWS 受管政策`AWSSecurityHubOrganizationsAccess`。
如需詳細資訊,請參閱[AWS Security Hub 的 受管政策](security-iam-awsmanpol.md)。
## 啟用 Security Hub CSPM 與 Organizations 整合
若要開始搭配 Security Hub CSPM 使用 AWS Organizations,組織的 AWS Organizations 管理帳戶會將帳戶指定為組織的委派 Security Hub CSPM 管理員帳戶。Security Hub CSPM 會在目前區域中的委派管理員帳戶中自動啟用。
選擇您偏好的方法,然後依照步驟指定委派管理員。
------
#### [ Security Hub CSPM console ]
**在加入時指定委派的 Security Hub CSPM 管理員**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 選擇**移至 Security Hub CSPM**。系統會提示您登入 Organizations 管理帳戶。
1. 在**指定委派管理員**頁面上的**委派管理員帳戶**區段中,指定委派管理員帳戶。我們建議您選擇已為其他 AWS 安全與合規服務設定的相同委派管理員。
1. 選擇**設定委派管理員**。
------
#### [ Security Hub CSPM API ]
從 Organizations 管理帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) API。提供 Security Hub CSPM 委派管理員帳戶的 AWS 帳戶 ID。
------
#### [ AWS CLI ]
從 Organizations 管理帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)命令。提供 Security Hub CSPM 委派管理員帳戶的 AWS 帳戶 ID。
**範例命令:**
```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```
------
如需與 Organizations 整合的詳細資訊,請參閱 [將 Security Hub CSPM 與 整合 AWS Organizations](designate-orgs-admin-account.md)。
### 中央組態
當您整合 Security Hub CSPM 和 Organizations 時,您可以選擇使用稱為[中央組態](central-configuration-intro.md)的功能,為您的組織設定和管理 Security Hub CSPM。我們強烈建議使用中央組態,因為它可讓管理員自訂組織的安全涵蓋範圍。在適當情況下,委派管理員可以允許成員帳戶設定自己的安全涵蓋範圍設定。
中央組態可讓委派管理員跨帳戶、OUs 和 設定 Security Hub CSPM AWS 區域。委派管理員透過建立組態政策來設定 Security Hub CSPM。在組態政策中,您可以指定下列設定:
+ Security Hub CSPM 是否啟用或停用
+ 啟用和停用哪些安全標準
+ 啟用和停用哪些安全控制
+ 是否自訂特定控制項的參數
身為委派管理員,您可以為整個組織建立單一組態政策,或為各種帳戶和 OUs 建立不同的組態政策。例如,測試帳戶和生產帳戶可以使用不同的組態政策。
使用組態政策的成員帳戶和 OUs 是*集中管理*的,只能由委派管理員設定。委派管理員可以將特定成員帳戶和 OUs 指定為*自我管理*,讓成員能夠Region-by-Region自己的設定。
如果您不使用中央組態,則必須在每個帳戶和區域中分別設定 Security Hub CSPM。這稱為[本機組態](local-configuration.md)。在本機組態下,委派管理員可以在目前區域中的新組織帳戶中自動啟用 Security Hub CSPM 和一組有限的安全標準。本機組態不適用於現有的組織帳戶或目前區域以外的區域。本機組態也不支援使用組態政策。
## 手動啟用 Security Hub CSPM
如果您有獨立帳戶或未與 整合,則必須手動啟用 Security Hub CSPM AWS Organizations。獨立帳戶無法與 整合 AWS Organizations ,且必須使用手動啟用。
當您手動啟用 Security Hub CSPM 時,您可以指定 Security Hub CSPM 管理員帳戶,並邀請其他帳戶成為成員帳戶。當潛在成員帳戶接受邀請時,會建立管理員成員關係。
選擇您偏好的方法,並依照步驟啟用 Security Hub CSPM。當您從主控台啟用 Security Hub CSPM 時,您也可以選擇啟用支援的安全標準。
------
#### [ Security Hub CSPM console ]
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 當您第一次開啟 Security Hub CSPM 主控台時,請選擇**移至 Security Hub CSPM**。
1. 在歡迎頁面上,**安全標準**區段列出 Security Hub CSPM 支援的安全標準。
選取標準 的核取方塊以啟用它,然後清除核取方塊以停用它。
您可以隨時啟用或停用標準,或是其個別的控制項。如需管理安全標準的資訊,請參閱 [了解 Security Hub CSPM 中的安全標準](standards-view-manage.md)。
1. 選擇 **Enable Security Hub (啟用 Security Hub)**。
------
#### [ Security Hub CSPM API ]
叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html) API。當您從 API 啟用 Security Hub CSPM 時,它會自動啟用下列預設安全標準:
+ AWS 基礎安全最佳實務
+ Center for Internet Security (CIS) AWS Foundations Benchmark 1.2.0 版
如果您不希望啟用這些標準,請將 `EnableDefaultStandards` 設為 `false`。
您也可以使用 `Tags` 參數將標籤值指派給中樞資源。
------
#### [ AWS CLI ]
執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) 命令。若要啟用預設標準,請包含 `--enable-default-standards`。若要不啟用預設標準,請包含 `--no-enable-default-standards`。預設安全標準如下:
+ AWS 基礎安全最佳實務
+ Center for Internet Security (CIS) AWS Foundations Benchmark 1.2.0 版
```
aws securityhub enable-security-hub [--tags ] [--enable-default-standards | --no-enable-default-standards]
```
**範例**
```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```
------
### 多帳戶啟用指令碼
**注意**
我們建議您使用中央組態,在多個帳戶和區域中啟用和設定 Security Hub CSPM,而不是此指令碼。
[GitHub 中的 Security Hub CSPM 多帳戶啟用指令碼](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)可讓您跨帳戶和區域啟用 Security Hub CSPM。指令碼也會自動化傳送邀請至成員帳戶和啟用的程序 AWS Config。
指令碼會自動啟用所有區域中所有資源 AWS Config 的資源記錄,包括全域資源。它不會將全域資源的記錄限制為單一區域。為了節省成本,我們建議僅在單一區域中記錄全域資源。如果您使用中央組態或跨區域彙總,這應該是您的主區域。如需詳細資訊,請參閱[在 中記錄資源 AWS Config](securityhub-setup-prereqs.md#config-resource-recording)。
有一個對應的指令碼可跨帳戶和區域停用 Security Hub CSPM。
## 後續步驟:姿勢管理和整合
啟用 Security Hub CSPM 之後,我們建議啟用安全標準和控制項來監控您的安全狀態。啟用控制項之後,Security Hub CSPM 會開始執行安全檢查並產生控制項調查結果,協助您偵測 AWS 環境中的錯誤組態。若要接收控制調查結果,您必須啟用和設定 AWS Config Security Hub CSPM。如需詳細資訊,請參閱[啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。
啟用 Security Hub CSPM 之後,您也可以利用 Security Hub CSPM AWS 服務 與其他和第三方解決方案之間的整合,在 Security Hub CSPM 中查看其問題清單。Security Hub CSPM 會彙總來自不同來源的問題清單,並以一致的格式擷取問題清單。如需詳細資訊,請參閱[了解 Security Hub CSPM 中的整合](securityhub-findings-providers.md)。
# 啟用和設定 AWS Config Security Hub CSPM
AWS Security Hub CSPM 使用 AWS Config 規則來執行安全檢查並產生大多數控制項的問題清單。 AWS Config 提供 中 AWS 資源組態的詳細檢視 AWS 帳戶。它使用規則來為您的資源和組態記錄器建立基準組態,以偵測特定資源是否違反規則的條件。
有些規則稱為 AWS Config 受管規則,由 預先定義和開發 AWS Config。其他規則是 Security Hub CSPM 開發的自訂 AWS Config 規則。Security Hub CSPM 用於控制項的 AWS Config 規則稱為*服務連結規則*。服務連結規則允許 AWS 服務 例如 Security Hub CSPM 在您的帳戶中建立 AWS Config 規則。
若要在 Security Hub CSPM 中接收控制項問題清單,您必須 AWS Config 為您的帳戶啟用 。您也必須為啟用控制項評估的資源類型開啟資源記錄。然後,Security Hub CSPM 可以為控制項建立適當的 AWS Config 規則,並開始執行安全檢查並產生控制項的問題清單。
**Topics**
+ [啟用和設定 之前的考量事項 AWS Config](#securityhub-prereq-config)
+ [在 中記錄資源 AWS Config](#config-resource-recording)
+ [啟用和設定的方法 AWS Config](#config-how-to-enable)
+ [了解 Config.1 控制項](#config-1-overview)
+ [產生服務連結規則](#securityhub-standards-generate-awsconfigrules)
+ [成本考量](#config-cost-considerations)
## 啟用和設定 之前的考量事項 AWS Config
若要在 Security Hub CSPM 中接收控制問題清單, AWS Config 必須在啟用 Security Hub CSPM 的每個 AWS 區域 中為您的帳戶啟用 。如果您將 Security Hub CSPM 用於多帳戶環境, AWS Config 則必須在每個區域中為管理員帳戶和所有成員帳戶啟用 。
我們強烈建議您在啟用任何 Security Hub CSPM 標準和控制項 AWS Config *之前*,先開啟 中的資源記錄。這可協助您確保控制問題清單的準確性。
若要在 中開啟資源記錄 AWS Config,您必須有足夠的許可,才能在連接到組態記錄器的 AWS Identity and Access Management (IAM) 角色中記錄資源。此外,請確保沒有任何 IAM 政策或 AWS Organizations 政策 AWS Config 會阻止 擁有記錄 資源的許可。Security Hub CSPM 控制項會直接評估資源組態,且不考慮 AWS Organizations 政策。如需錄製的詳細資訊 AWS Config ,請參閱《 *AWS Config 開發人員指南*》中的[使用組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。
如果您在 Security Hub CSPM 中啟用標準,但尚未啟用 AWS Config,Security Hub CSPM 會嘗試根據下列排程建立服務連結 AWS Config 規則:
+ 在您啟用標準的那一天。
+ 啟用標準的隔天。
+ 啟用標準後 3 天。
+ 啟用標準後 7 天,之後每 7 天持續一次。
如果您使用中央組態,Security Hub CSPM 也會在每次您將啟用一或多個標準與帳戶、組織單位 (OUs) 或根目錄的組態政策建立關聯時,嘗試建立服務連結 AWS Config 規則。
## 在 中記錄資源 AWS Config
啟用 時 AWS Config,您必須指定您希望 AWS Config 組態記錄器記錄 AWS 的資源。透過服務連結規則,組態記錄器可讓 Security Hub CSPM 偵測資源組態的變更。
若要讓 Security Hub CSPM 產生準確的控制調查結果,您必須開啟 中的 AWS Config 記錄,以取得對應於已啟用控制項的資源類型。它主要是啟用的控制項,具有需要資源記錄*的變更觸發*排程類型。有些具有*定期*排程類型的控制項也需要資源記錄。如需這些控制項及其對應資源的清單,請參閱 [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)。
**警告**
如果您未 AWS Config 正確設定 Security Hub CSPM 控制項的記錄,可能會導致不正確的控制調查結果,尤其是在下列執行個體中:
您永遠不會記錄特定控制項的資源,或在建立該類型的資源之前停用資源的錄製。在這些情況下,您會收到問題控制項的問題`WARNING`清單,即使您在停用錄製之後,可能已建立控制項範圍內的資源。此`WARNING`調查結果是預設調查結果,不會實際評估資源的組態狀態。
您可以停用特定控制項評估之資源的錄製。在此情況下,即使控制項未評估新的或更新的資源,Security Hub CSPM 仍會保留停用錄製之前產生的控制項調查結果。Security Hub CSPM 也會將調查結果的合規狀態變更為 `WARNING`。這些保留的問題清單可能無法準確反映資源的目前組態狀態。
根據預設, 會 AWS Config 記錄它在執行 AWS 區域 所在的 中探索的所有支援*的區域資源*。若要接收所有 Security Hub CSPM 控制調查結果,您還必須設定 AWS Config 來記錄*全域資源*。為了節省成本,我們建議僅在單一區域中記錄全域資源。如果您使用中央組態或跨區域彙總,則此區域應該是您的主區域。
在 中 AWS Config,您可以選擇*持續記錄*和*每日記錄*資源狀態的變更。如果您選擇每日錄製,則 會在資源狀態發生變更時,在每個 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更,則不會交付任何資料。這可能會延遲產生由變更觸發之控制項的 Security Hub CSPM 調查結果,直到 24 小時期間完成為止。
如需 AWS Config 錄製的詳細資訊,請參閱《 *AWS Config 開發人員指南*》中的[錄製 AWS 資源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)。
## 啟用和設定的方法 AWS Config
您可以透過下列任何方式啟用 AWS Config 和開啟資源記錄:
+ **AWS Config 主控台** – 您可以使用 AWS Config 主控台 AWS Config 為 帳戶啟用 。如需說明,請參閱《 *AWS Config 開發人員指南*》中的[AWS Config 使用 主控台設定](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) 。
+ **AWS CLI 或 SDKs** – 您可以使用 AWS Command Line Interface () AWS Config 為 帳戶啟用AWS CLI。如需說明,請參閱《 *AWS Config 開發人員指南*》中的[AWS Config 使用 設定 AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) 。 AWS 軟體開發套件 SDKs) 也適用於多種程式設計語言。
+ **CloudFormation 範本** – 若要 AWS Config 為許多帳戶啟用 ,建議使用名為**啟用 AWS Config**的 AWS CloudFormation 範本。若要存取此範本,請參閱*AWS CloudFormation 《 使用者指南*》中的 [AWS CloudFormation StackSet 範本範例](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)。
根據預設,此範本會排除 IAM 全域資源的記錄。確保您只開啟一個 AWS 區域 中的 IAM 全域資源記錄,以節省記錄成本。如果您已啟用跨區域彙總,這應該是您的 [Security Hub CSPM 主區域](finding-aggregation.md)。否則,可以是 Security Hub CSPM 在支援記錄 IAM 全域資源的任何可用區域。我們建議執行一個 StackSet,以記錄主要區域或其他所選區域中的所有資源,包括 IAM 全域資源。然後,執行第二個 StackSet 來記錄其他區域中 IAM 全域資源以外的所有資源。
+ **GitHub 指令碼** – Security Hub CSPM 提供 [GitHub 指令碼](https://github.com/awslabs/aws-securityhub-multiaccount-scripts), AWS Config 可為跨區域的多個帳戶啟用 Security Hub CSPM 和 。如果您尚未與 整合 AWS Organizations,或者您有一些不屬於組織的成員帳戶,則此指令碼很有用。
如需詳細資訊,請參閱安全部落格上的下列*AWS 部落格*文章:[AWS Config 最佳化 AWS Security Hub CSPM 以有效管理您的雲端安全狀態](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/)。
## 了解 Config.1 控制項
在 Security Hub CSPM 中,如果 AWS Config 停用 ,[Config.1 ](config-controls.md#config-1)控制項會在您的帳戶中產生`FAILED`問題清單。如果 AWS Config 已啟用但資源錄製未開啟,它也會在您的帳戶中產生`FAILED`問題清單。
如果 AWS Config 已啟用 且資源記錄已開啟,但已啟用控制檢查的資源類型未開啟資源記錄,Security Hub CSPM 會為 Config.1 控制項產生`FAILED`問題清單。除了此`FAILED`調查結果之外,Security Hub CSPM 還會為已啟用的控制項和控制項檢查的資源類型產生`WARNING`調查結果。例如,如果您啟用 [KMS.5](kms-controls.md#kms-5) 控制項且未開啟資源錄製 AWS KMS keys,Security Hub CSPM 會產生 Config.1 控制項的問題`FAILED`清單。Security Hub CSPM 也會產生 KMS.5 控制項和 KMS 金鑰`WARNING`的問題清單。
若要接收 Config.1 控制項的問題`PASSED`清單,請開啟對應至已啟用控制項之所有資源類型的資源記錄。同時停用組織不需要的控制項。這有助於確保您在安全控制檢查中沒有組態差距。它還有助於確保您收到有關設定錯誤資源的準確調查結果。
如果您是組織的委派 Security Hub CSPM 管理員,則必須為您的帳戶和成員帳戶正確設定 AWS Config 記錄。如果您使用跨區域彙總,則必須在主要區域和所有連結區域中正確設定 AWS Config 記錄。全域資源不需要記錄在連結的區域中。
## 產生服務連結規則
對於每個使用服務連結 AWS Config 規則的控制項,Security Hub CSPM 會在您的 AWS 環境中建立所需規則的執行個體。
這些服務連結規則專屬於 Security Hub CSPM。即使相同規則的其他執行個體已存在,Security Hub CSPM 也會建立這些服務連結規則。服務連結規則會在原始規則名稱`securityhub`之前新增 ,並在規則名稱之後新增唯一識別符。例如,對於 AWS Config 受管規則 `vpc-flow-logs-enabled`,服務連結規則名稱可能是 `securityhub-vpc-flow-logs-enabled-12345`。
AWS Config 受管規則的數量有配額,可用於評估 controls. AWS Config rules,Security Hub CSPM 建立的規則不會計入這些配額。即使您已達到帳戶中受管規則的 AWS Config 配額,也可以啟用安全標準。若要進一步了解 AWS Config 規則的配額,請參閱《 *AWS Config 開發人員指南*》中的 [的服務限制 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html)。
## 成本考量
Security Hub CSPM 可以透過更新 AWS Config 組態項目來影響您的`AWS::Config::ResourceCompliance`組態記錄器成本。每次與 AWS Config 規則相關聯的 Security Hub CSPM 控制項變更合規狀態、啟用或停用,或具有參數更新時,都可以進行更新。如果您只將 AWS Config 組態記錄器用於 Security Hub CSPM,而且不將此組態項目用於其他用途,我們建議您關閉其中的錄製 AWS Config。這可以降低您的 AWS Config 成本。您不需要記錄安全檢查`AWS::Config::ResourceCompliance`,即可在 Security Hub CSPM 中運作。
如需與資源記錄相關的成本資訊,請參閱 [AWS Security Hub CSPM 定價](https://aws.amazon.com/security-hub/pricing/)和[AWS Config 定價](https://aws.amazon.com/config/pricing/)。
# 了解 Security Hub CSPM 中的本機組態
本機組態是 AWS 組織在 Security Hub CSPM 中設定的預設方式。如果您不選擇加入並啟用中央組態,您的組織預設會使用本機組態。
在本機組態下,委派的 Security Hub CSPM 管理員帳戶對組態設定的控制有限。委派管理員可以強制執行的唯一設定是在新的組織帳戶中自動啟用 Security Hub CSPM 和預設安全標準。這些設定僅適用於您指定委派管理員帳戶的 區域。預設安全標準為 AWS 基礎安全最佳實務 (FSBP) 和網際網路安全中心 (CIS) AWS 基準 1.2.0 版。本機組態設定不適用於現有的組織帳戶或指定委派管理員帳戶所在區域以外的區域。
除了在單一區域的新組織帳戶中啟用 Security Hub CSPM 和預設標準之外,您還必須在每個區域和帳戶中分別設定其他 Security Hub CSPM 設定,包括標準和控制項。由於這可能是重複的程序,如果下列一或多個項目適用於您,建議您針對多帳戶環境使用中央組態:
+ 您想要針對組織的各個部分進行不同的組態設定 (例如,針對不同團隊啟用不同的標準或控制項)。
+ 您在多個區域中操作 ,並希望減少在這些區域中設定服務的時間和複雜性。
+ 您希望新帳戶在加入組織時使用特定的組態設定。
+ 您希望組織帳戶從父帳戶或根繼承特定組態設定。
如需中央組態的資訊,請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。
# 了解 Security Hub CSPM 中的中央組態
中央組態是一項 AWS Security Hub CSPM 功能,可協助您跨多個 和 設定和管理 Security Hub CSPM AWS 帳戶 AWS 區域。若要使用中央組態,您必須先整合 Security Hub CSPM 和 AWS Organizations。您可以透過建立組織並指定組織的委派 Security Hub CSPM 管理員帳戶來整合服務。
從委派的 Security Hub CSPM 管理員帳戶,您可以為組織的帳戶和跨區域的組織單位 (OUs) 啟用 Security Hub CSPM。您也可以跨區域啟用、設定和停用帳戶和 OUs 的個別安全標準和安全控制。您只需幾個步驟即可從一個主要區域設定這些設定,稱為*主要區域*。
當您使用中央組態時,委派管理員可以選擇要設定哪些帳戶和 OUs。如果委派管理員將成員帳戶或 OU 指定為*自我管理*,則該成員可以在每個區域中分別設定自己的設定。如果委派管理員將成員帳戶或 OU 指定為*集中管理*,則只有委派管理員才能跨區域設定成員帳戶或 OU。您可以將組織中的所有帳戶和 OUs 指定為集中管理、所有自我管理或兩者的組合。
若要設定集中受管帳戶,委派管理員會使用 Security Hub CSPM 組態政策。組態政策可讓委派管理員指定啟用或停用 Security Hub CSPM,以及啟用或停用哪些標準和控制項。它們也可以用來自訂特定控制項的參數。
組態政策會在主要區域和所有連結區域中生效。委派管理員會先指定組織的主區域和連結的區域,再開始使用中央組態。指定連結的區域是選用的。委派管理員可以為整個組織建立單一組態政策,或建立多個組態政策來設定不同帳戶和 OUs 的變數設定。
**提示**
如果您不使用中央組態,則必須在每個帳戶和區域中分別設定 Security Hub CSPM。這稱為*本機組態*。在本機組態下,委派管理員可以在目前區域中的新組織帳戶中自動啟用 Security Hub CSPM 和一組有限的安全標準。本機組態不適用於現有的組織帳戶或目前區域以外的區域。本機組態也不支援使用組態政策。
本節提供中央組態的概觀。
## 使用中央組態的優點
中央組態的優點包括下列項目:
**簡化 Security Hub CSPM 服務和功能的組態**
當您使用中央組態時,Security Hub CSPM 會引導您完成為組織設定安全最佳實務的程序。它也會自動將產生的組態政策部署到指定的帳戶和 OUs。如果您有現有的 Security Hub CSPM 設定,例如自動啟用新的安全控制,您可以使用這些設定做為組態政策的起點。此外,Security Hub CSPM 主控台上的**組態**頁面會顯示組態政策的即時摘要,以及哪些帳戶和 OUs 使用每個政策。
**跨帳戶和區域設定**
您可以使用中央組態,跨多個帳戶和區域設定 Security Hub CSPM。這有助於確保組織的每個部分維持一致的組態和足夠的安全涵蓋範圍。
**適應不同帳戶和 OUs 中的不同組態**
使用中央組態,您可以選擇以不同的方式設定組織的帳戶和 OUs。例如,您的測試帳戶和生產帳戶可能需要不同的組態。您也可以建立組態政策,涵蓋加入組織的新帳戶。
**防止組態偏離**
當使用者變更與委派管理員選擇衝突的服務或功能時,會發生組態偏離。中央組態可防止此偏離。當您將帳戶或 OU 指定為集中管理時,只能由組織的委派管理員設定。如果您偏好特定帳戶或 OU 來設定自己的設定,您可以將其指定為自我管理。
## 何時使用中央組態?
中央組態最適合包含多個 Security Hub CSPM 帳戶 AWS 的環境。它旨在協助您集中管理多個帳戶的 Security Hub CSPM。
您可以使用中央組態來設定 Security Hub CSPM 服務、安全標準和安全控制。您也可以使用它來自訂特定控制項的參數。如需安全標準的詳細資訊,請參閱 [了解 Security Hub CSPM 中的安全標準](standards-view-manage.md)。如需安全控制的詳細資訊,請參閱 [了解 Security Hub CSPM 中的安全控制](controls-view-manage.md)。
## 中央組態術語和概念
了解下列關鍵術語和概念可協助您使用 Security Hub CSPM 中央組態。
**中央組態**
Security Hub CSPM 功能可協助組織的委派 Security Hub CSPM 管理員帳戶設定跨多個帳戶和區域的 Security Hub CSPM 服務、安全標準和安全控制。若要設定這些設定,委派管理員會為其組織中的集中受管帳戶建立和管理 Security Hub CSPM 組態政策。自我管理帳戶可以在每個區域中分別設定自己的設定。若要使用中央組態,您必須整合 Security Hub CSPM 和 AWS Organizations。
**主區域**
委派管理員透過建立和管理組態政策, AWS 區域 從中集中設定 Security Hub CSPM 的 。組態政策會在主要區域和所有連結區域中生效。
主要區域也做為 Security Hub CSPM 彙總區域,接收來自連結區域的調查結果、洞見和其他資料。
在 2019 年 3 月 20 日或之後 AWS 引進的區域稱為選擇加入區域。選擇加入區域不能是主要區域,但可以是連結的區域。如需選擇加入區域的清單,請參閱《*AWS 帳戶管理參考指南*》中的[啟用和停用區域的考量事項](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)。
**連結的區域**
可從主要區域 AWS 區域 設定。組態政策由主要區域中的委派管理員建立。這些政策會在主要區域和所有連結區域中生效。指定連結的區域是選用的。
連結的區域也會將問題清單、洞見和其他資料傳送至主要區域。
在 2019 年 3 月 20 日或之後 AWS 引進的區域稱為選擇加入區域。您必須先為帳戶啟用此類區域,才能套用組態政策。Organizations 管理帳戶可以為成員帳戶啟用選擇加入區域。如需詳細資訊,請參閱《[帳戶管理參考指南》中的指定 AWS 區域 您的帳戶可以使用哪些](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)。 *AWS *
**目標**
AWS 帳戶、組織單位 (OU) 或組織根目錄。
**Security Hub CSPM 組態政策**
委派管理員可為集中受管目標設定的 Security Hub CSPM 設定集合。其中包含:
+ 是否啟用或停用 Security Hub CSPM。
+ 是否啟用一或多個[安全標準](standards-reference.md)。
+ 要跨啟用的標準啟用哪些[安全控制](securityhub-controls-reference.md)。委派管理員可以透過提供應啟用的特定控制項清單來執行此操作,而 Security Hub CSPM 會停用所有其他控制項 (包括發行時的新控制項)。或者,委派管理員可以提供應停用的特定控制項清單,而 Security Hub CSPM 會啟用所有其他控制項 (包括發行時的新控制項)。
+ 或者,[自訂已啟用標準之所選控制項的參數](custom-control-parameters.md)。
組態政策在與至少一個帳戶、組織單位 (OU) 或根關聯之後,會在主區域和所有連結區域中生效。
在 Security Hub CSPM 主控台上,委派管理員可以選擇 Security Hub CSPM 建議的組態政策或建立自訂組態政策。使用 Security Hub CSPM API 和 AWS CLI,委派管理員只能建立自訂組態政策。委派管理員最多可以建立 20 個自訂組態政策。
在建議的組態政策中,Security Hub CSPM、 AWS 基礎安全最佳實務 (FSBP) 標準,以及所有現有和新的 FSBP 控制項都會啟用。接受參數的控制項會使用預設值。建議的組態政策適用於整個組織。
若要將不同的設定套用至組織,或將不同的組態政策套用至不同的帳戶和 OUs,請建立自訂組態政策。
**本機組態**
整合 Security Hub CSPM 和 之後,組織的預設組態類型 AWS Organizations。透過本機組態,委派管理員可以選擇在目前區域中*的新*組織帳戶中自動啟用 Security Hub CSPM 和[預設安全標準](securityhub-auto-enabled-standards.md)。如果委派管理員自動啟用預設標準,則屬於這些標準的所有控制項也會自動啟用,其中包含新組織帳戶的預設參數。這些設定不適用於現有帳戶,因此在帳戶加入組織之後,組態漂移是可能的。停用屬於預設標準一部分的特定控制項,以及設定其他標準和控制項,都必須在每個帳戶和區域中分別完成。
本機組態不支援使用組態政策。若要使用組態政策,您必須切換到中央組態。
**手動帳戶管理**
如果您未將 Security Hub CSPM 與 整合, AWS Organizations 或擁有獨立帳戶,則必須在每個區域中分別指定每個帳戶的設定。手動帳戶管理不支援使用組態政策。
**中央組態 APIs**
只有 Security Hub CSPM 委派 Security Hub CSPM 管理員可以在主區域中使用 Security Hub CSPM 操作來管理集中管理帳戶的組態政策。這些操作包括:
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`
**帳戶特定的 APIs**
Security Hub CSPM 操作,可用於account-by-account啟用或停用 Security Hub CSPM、標準和控制項。這些操作用於每個個別區域。
自我管理帳戶可以使用帳戶特定的操作來設定自己的設定。在主要區域和連結區域中,集中管理的帳戶無法使用下列帳戶特定操作。在這些區域中,只有委派管理員可以透過中央組態操作和組態政策來設定集中受管帳戶。
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
若要檢查帳戶狀態,集中管理帳戶的擁有者*可以使用* Security Hub CSPM API 的任何 `Get`或 `Describe`操作。
如果您使用本機組態或手動帳戶管理,而不是中央組態,則可以使用這些帳戶特定的操作。
自我管理帳戶也可以使用 `*Invitations`和 `*Members`操作。不過,我們建議自我管理帳戶不要使用這些操作。如果成員帳戶自己的成員與委派管理員屬於不同的組織,則政策關聯可能會失敗。
**組織單位 (OU)**
在 AWS Organizations 和 Security Hub CSPM 中, 群組的容器 AWS 帳戶。組織單位 (OU) 也可以包含其他 OUs,可讓您建立類似上下倒置樹狀結構的階層,其中 OU 的父系 OU 位於 OUs 的頂端和分支,以樹狀樹葉的帳戶結尾。OU 可以只有一個父系,而且每個組織帳戶可以是只有一個 OU 的成員。
您可以在 AWS Organizations 或 中管理 OUs AWS Control Tower。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[管理組織單位](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html),或《 *AWS Control Tower 使用者指南*》中的[使用 管理組織和帳戶 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html)。
委派管理員可以將組態政策與特定帳戶或 OUs 或根關聯,以涵蓋組織中的所有帳戶和 OUs。
**集中管理**
只有委派管理員可以使用組態政策跨區域設定的目標。
委派管理員帳戶指定目標是否集中管理。委派管理員也可以將目標的狀態從集中受管變更為自我管理,或反之亦然。
**自我管理**
管理自己的 Security Hub CSPM 設定的目標。自我管理目標使用帳戶特定的操作,在每個區域中分別設定 Security Hub CSPM。這與集中受管目標相反,這些目標只能由跨區域的委派管理員透過組態政策進行設定。
委派管理員帳戶會指定目標是否為自我管理。委派管理員可以將自我管理行為套用至目標。或者,帳戶或 OU 可以從父系繼承自我管理的行為。
委派管理員帳戶本身可以是自我管理帳戶。委派管理員帳戶可以將目標的狀態從自我管理變更為集中管理,或反之亦然。
**組態政策關聯**
組態政策與 帳戶、組織單位 (OU) 或根帳戶之間的連結。當政策關聯存在時,帳戶、OU 或根會使用組態政策定義的設定。下列任一情況下都會存在關聯:
+ 當委派管理員直接將組態政策套用至帳戶、OU 或根帳戶時
+ 當帳戶或 OU 從父 OU 或根繼承組態政策時
在套用或繼承不同的組態之前,都會存在關聯。
**套用的組態政策**
一種組態政策關聯的類型,其中委派的管理員會將組態政策直接套用至目標帳戶、OUs 或根帳戶。目標的設定方式是設定組態政策,只有委派的管理員可以變更其組態。如果套用至根帳戶,則組態政策會影響組織中所有帳戶和 OUs,這些帳戶和 OU 不會透過應用程式使用不同的組態,或繼承來自最接近的父系。
委派管理員也可以將自我管理組態套用至特定帳戶、OUs 或根目錄。
**繼承的組態政策**
一種組態政策關聯類型,其中帳戶或 OU 採用最接近父系 OU 或根目錄的組態。如果組態政策未直接套用至帳戶或 OU,則會繼承最接近父項的組態。政策的所有元素都會繼承。換句話說,帳戶或 OU 無法選擇僅選擇性地繼承政策的一部分。如果最近的父系是自我管理的,子帳戶或 OU 會繼承父系的自我管理行為。
繼承無法覆寫套用的組態。也就是說,如果組態政策或自我管理組態直接套用至帳戶或 OU,則會使用該組態,而不會繼承父系的組態。
**根目錄**
在 AWS Organizations 和 Security Hub CSPM 中,組織中最上層的父節點。如果委派管理員將組態政策套用至根目錄,則政策會與組織中的所有帳戶和 OUs 相關聯,除非他們透過應用程式或繼承使用不同的政策,或被指定為自我管理。如果管理員將根指定為自我管理,則組織中的所有帳戶和 OUs 都會自我管理,除非他們透過應用程式或繼承使用組態政策。如果根是自我管理的,且目前沒有組態政策,則組織中的所有新帳戶都會保留其目前的設定。
加入組織的新帳戶屬於根帳戶,直到指派給特定 OU 為止。如果新帳戶未指派給 OU,則會繼承根組態,除非委派管理員將其指定為自我管理帳戶。
# 在 Security Hub CSPM 中啟用中央組態
委派的 AWS Security Hub CSPM 管理員帳戶可以使用中央組態,為多個帳戶和組織單位 (OUs) 設定 Security Hub CSPM、標準和控制 AWS 區域。
如需中央組態優點及其運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。
本節說明中央組態的先決條件,以及如何開始使用它。
## 中央組態的先決條件
您必須先將 Security Hub CSPM 與 整合 AWS Organizations 並指定主要區域,才能開始使用中央組態。如果您使用 Security Hub CSPM 主控台,這些先決條件會包含在中央組態的選擇加入工作流程中。
### 與 Organizations 整合
您必須整合 Security Hub CSPM 和 Organizations,才能使用中央組態。
若要整合這些服務,請先在 Organizations 中建立組織。然後,從 Organizations 管理帳戶指定 Security Hub CSPM 委派管理員帳戶。如需說明,請參閱[將 Security Hub CSPM 與 整合 AWS Organizations](designate-orgs-admin-account.md)。
請確定您在**預定的主**區域中指定委派管理員。當您開始使用中央組態時,也會在所有連結區域中自動設定相同的委派管理員。Organizations 管理帳戶*無法*設定為委派管理員帳戶。
**重要**
當您使用中央組態時,無法使用 Security Hub CSPM 主控台或 Security Hub CSPM APIs 來變更或移除委派的管理員帳戶。如果 Organizations 管理帳戶使用 AWS Organizations APIs來變更或移除 Security Hub CSPM 委派管理員,Security Hub CSPM 會自動停止中央組態。您的組態政策也會取消關聯並刪除。成員帳戶會保留他們在委派管理員變更或移除之前所擁有的組態。
### 指定主要區域
您必須指定主要區域才能使用中央組態。主要區域是委派管理員從中設定組織的區域。
**注意**
主要區域不能是 AWS 已指定為選擇加入區域的區域。預設會停用選擇加入區域。如需選擇加入區域的清單,請參閱《*AWS 帳戶管理參考指南*》中的[啟用和停用區域的考量](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)事項。
或者,您可以指定一個或多個可從主要區域設定的連結區域。
委派管理員只能從主要區域建立和管理組態政策。組態政策會在主要區域和所有連結區域中生效。您無法建立僅適用於這些區域子集的組態政策,而不是其他區域。例外情況是涉及全域資源的控制項。如果您使用中央組態,Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。如需詳細資訊,請參閱[使用全域資源的控制項](controls-to-disable.md#controls-to-disable-global-resources)。
主要區域也是您的 Security Hub CSPM 彙總區域,可接收來自連結區域的調查結果、洞見和其他資料。
如果您已設定跨區域彙總的彙總區域,則這是中央組態的預設主區域。您可以在開始使用中央組態之前變更主要區域,方法是刪除目前的問題清單彙總工具,並在所需的主要區域中建立新的問題清單彙總工具。問題清單彙整工具是一種 Security Hub CSPM 資源,可指定主要區域和連結的區域。
若要指定主要區域,請參閱[設定彙總區域的步驟](finding-aggregation-enable.md)。如果您已有主要區域,您可以叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) API 以查看其詳細資訊,包括目前與其連結的區域。
## 啟用中央組態的說明
選擇您偏好的方法,然後依照步驟為您的組織啟用中央組態。
------
#### [ Security Hub CSPM console ]
**啟用中央組態 (主控台)**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**設定**和**組態**。然後,選擇**開始中央組態**。
如果您要加入 Security Hub CSPM,請選擇**移至 Security Hub CSPM**。
1. 在**指定委派管理員**頁面上,選取委派管理員帳戶或輸入其帳戶 ID。如果適用,我們建議您選擇已為其他 AWS 安全與合規服務設定的相同委派管理員。選擇**設定委派管理員**。
1. 在**集中組織**頁面上的區域****區段中,選取您的主要區域。您必須登入主區域才能繼續。如果您已設定跨區域彙總的彙總區域,則會顯示為主要區域。若要變更主要區域,請選擇**編輯區域設定**。然後,您可以選取您偏好的主區域並返回此工作流程。
1. 選取至少一個區域以連結至主要區域。或者,選擇是否要將未來的支援區域自動連結至主要區域。您在此處選取的區域將由委派管理員從主要區域設定。組態政策會在您的主要區域和所有連結區域中生效。
1. 選擇**確認並繼續**。
1. 您現在可以使用中央組態。繼續遵循主控台提示建立您的第一個組態政策。如果您尚未準備好建立組態政策,請選擇**我尚未準備好進行設定**。您可以稍後在導覽窗格中選擇**設定**和**組態**來建立政策。如需建立組態政策的說明,請參閱 [建立和關聯組態政策](create-associate-policy.md)。
------
#### [ Security Hub CSPM API ]
**啟用中央組態 (API)**
1. 使用委派管理員帳戶的登入資料,從主要區域叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。
1. 將 `AutoEnable` 欄位設定為 `false`。
1. 將 `OrganizationConfiguration` 物件中的 `ConfigurationType` 欄位設定為 `CENTRAL`。此動作具有下列影響:
+ 在所有連結區域中,將呼叫帳戶指定為 Security Hub CSPM 委派管理員。
+ 在所有連結區域的委派管理員帳戶中啟用 Security Hub CSPM。
+ 針對使用 Security Hub CSPM 且屬於組織的新帳戶和現有帳戶,將呼叫帳戶指定為 Security Hub CSPM 委派管理員。這發生在主要區域和所有連結的區域。呼叫帳戶只有在與已啟用 Security Hub CSPM 的組態政策相關聯時,才會設定為新組織帳戶的委派管理員。呼叫帳戶只有在已啟用 Security Hub CSPM 時,才會設定為現有組織帳戶的委派管理員。
+ 在所有連結`false`的區域中[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)設定為 ,並在主要區域和所有連結的區域中[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)設定為 `NONE` 。當您使用中央組態時,這些參數與主區域和連結區域無關,但您可以透過使用組態政策,在組織帳戶中自動啟用 Security Hub CSPM 和預設安全標準。
1. 您現在可以使用中央組態。委派管理員可以建立組態政策,在您的組織中設定 Security Hub CSPM。如需建立組態政策的說明,請參閱 [建立和關聯組態政策](create-associate-policy.md)。
**範例 API 請求:**
```
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
```
------
#### [ AWS CLI ]
**啟用中央組態 (AWS CLI)**
1. 使用委派管理員帳戶的登入資料,從主要區域執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)命令。
1. 納入 `no-auto-enable` 參數。
1. 將 `organization-configuration` 物件中的 `ConfigurationType` 欄位設定為 `CENTRAL`。此動作具有下列影響:
+ 在所有連結區域中,將呼叫帳戶指定為 Security Hub CSPM 委派管理員。
+ 在所有連結區域的委派管理員帳戶中啟用 Security Hub CSPM。
+ 針對使用 Security Hub CSPM 且屬於組織的新帳戶和現有帳戶,將呼叫帳戶指定為 Security Hub CSPM 委派管理員。這發生在主要區域和所有連結的區域。呼叫帳戶只有在與已啟用 Security Hub 的組態政策相關聯時,才會設定為新組織帳戶的委派管理員。呼叫帳戶只有在已啟用 Security Hub CSPM 時,才會設定為現有組織帳戶的委派管理員。
+ 在所有連結[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)區域中將自動啟用選項設定為 ,並在主要區域和所有連結`NONE`區域中[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)將 設定為 。當您使用中央組態時,這些參數與主區域和連結區域無關,但您可以透過使用組態政策,在組織帳戶中自動啟用 Security Hub CSPM 和預設安全標準。
1. 您現在可以使用中央組態。委派管理員可以建立組態政策,在您的組織中設定 Security Hub CSPM。如需建立組態政策的說明,請參閱 [建立和關聯組態政策](create-associate-policy.md)。
**範例命令:**
```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```
------
# 集中管理與自我管理的目標
當您啟用中央組態時,委派的 AWS Security Hub CSPM 管理員可以將每個組織帳戶、組織單位 (OU) 和根指定為*集中管理*或*自我管理*。目標的管理類型決定如何指定其 Security Hub CSPM 設定。
如需中央組態優點及其運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。
本節說明集中管理和自我管理指定之間的差異,以及如何選擇帳戶、OU 或根的管理類型。
**自我管理**
自我管理帳戶、OU 或根的擁有者必須在每個帳戶中分別設定其設定 AWS 區域。委派管理員無法建立自我管理目標的組態政策。
**集中管理**
只有委派的 Security Hub CSPM 管理員可以設定集中受管帳戶、OUs 或主要區域和連結區域的根目錄的設定。組態政策可以與集中管理的帳戶和 OUs 建立關聯。
委派管理員可以在自我管理和集中管理之間切換目標的狀態。根據預設,當您透過 Security Hub CSPM API 啟動中央組態時,所有帳戶和 OU 都會自我管理。在 主控台中,管理類型取決於您的第一個組態政策。與您第一個政策相關聯的帳戶和 OUs會集中管理。根據預設,其他帳戶和 OUs會自我管理。
如果您將組態政策與先前自我管理的帳戶建立關聯,政策設定會覆寫自我管理的指定。帳戶會成為集中管理,並採用組態政策中反映的設定。
如果您將集中受管帳戶變更為自我管理帳戶,則先前透過組態政策套用至帳戶的設定會保持不變。例如,中央受管帳戶最初可以與啟用 Security Hub CSPM、啟用 AWS 基礎安全最佳實務和停用 CloudTrail.1. 如果您接著將帳戶指定為自我管理,則所有設定保持不變。不過,帳戶擁有者可以獨立變更未來帳戶的設定。
子帳戶和 OUs 可以從自我管理的父系繼承自我管理行為,就像子帳戶和 OUs 可以從集中管理的父系繼承組態政策一樣。如需詳細資訊,請參閱[透過應用程式和繼承的政策關聯](configuration-policies-overview.md#policy-association)。
自我管理帳戶或 OU 無法從父節點或根繼承組態政策。例如,如果您希望組織中的所有帳戶和 OUs 從根繼承組態政策,您必須將自我管理節點的管理類型變更為集中管理。
## 在自我管理帳戶中設定設定的選項
自我管理帳戶必須在每個區域中分別設定自己的設定。
自我管理帳戶的擁有者可以在每個區域中調用 Security Hub CSPM API 的下列操作來設定其設定:
+ `EnableSecurityHub` 和 `DisableSecurityHub` 啟用或停用 Security Hub CSPM 服務 (如果自我管理帳戶具有委派的 Security Hub CSPM 管理員,則管理員必須先[取消帳戶關聯](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html),帳戶擁有者才能停用 Security Hub CSPM)。
+ `BatchEnableStandards` 和 `BatchDisableStandards`來啟用或停用標準
+ `BatchUpdateStandardsControlAssociations` 或 `UpdateStandardsControl`以啟用或停用控制項
自我管理帳戶也可以使用 `*Invitations`和 `*Members`操作。不過,我們建議自我管理帳戶不要使用這些操作。如果成員帳戶自己的成員與委派管理員屬於不同的組織,則政策關聯可能會失敗。
如需 Security Hub CSPM API 動作的說明,請參閱 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html)。
自我管理帳戶也可以使用 Security Hub CSPM 主控台或 AWS CLI 在每個區域中設定其設定。
自我管理帳戶無法叫用與 Security Hub CSPM 組態政策和政策關聯相關的任何 APIs。只有委派管理員可以叫用中央組態 APIs並使用組態政策來設定集中受管帳戶。
## 選擇目標的管理類型
選擇您偏好的方法,並依照步驟在 AWS Security Hub CSPM 中將帳戶或 OU 指定為集中管理或自我管理。
------
#### [ Security Hub CSPM console ]
**選擇帳戶或 OU 的管理類型**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的登入資料登入。
1. 選擇 **Configuration (組態)**。
1. 在**組織**索引標籤上,選取目標帳戶或 OU。選擇**編輯**。
1. 在**定義組態**頁面上,針對**管理類型**,如果您希望委派管理員設定目標帳戶或 OU,請選擇**集中管理**。然後,如果您想要將現有的組態政策與目標建立關聯,請選擇**套用特定**政策。如果您希望目標繼承其最近父系的組態,請選擇**從我的組織**繼承。如果您希望帳戶或 OU 設定自己的設定,請選擇**自我管理**。
1. 選擇**下一步**。檢閱您的變更,然後選擇**儲存**。
------
#### [ Security Hub CSPM API ]
**選擇帳戶或 OU 的管理類型**
1. 從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。
1. 對於 `ConfigurationPolicyIdentifier` 欄位,`SELF_MANAGED_SECURITY_HUB`如果您希望帳戶或 OU 控制自己的設定,請提供 。如果您希望委派管理員控制帳戶或 OU 的設定,請提供相關組態政策的 Amazon Resource Name (ARN) 或 ID。
1. 針對 `Target` 欄位,提供您要變更其管理類型之目標的 AWS 帳戶 ID、OU ID 或根 ID。這會將自我管理行為或指定的組態政策與目標建立關聯。目標的子帳戶可能會繼承自我管理的行為或組態政策。
**指定自我管理帳戶的範例 API 請求:**
```
{
"ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
"Target": {"AccountId": "123456789012"}
}
```
------
#### [ AWS CLI ]
**選擇帳戶或 OU 的管理類型**
1. 從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。
1. 對於 `configuration-policy-identifier` 欄位,`SELF_MANAGED_SECURITY_HUB`如果您希望帳戶或 OU 控制自己的設定,請提供 。如果您希望委派管理員控制帳戶或 OU 的設定,請提供相關組態政策的 Amazon Resource Name (ARN) 或 ID。
1. 針對 `target` 欄位,提供您要變更其管理類型之目標的 AWS 帳戶 ID、OU ID 或根 ID。這會將自我管理行為或指定的組態政策與目標建立關聯。目標的子帳戶可能會繼承自我管理的行為或組態政策。
**指定自我管理帳戶的範例命令:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```
------
# 組態政策如何在 Security Hub CSPM 中運作
委派的 AWS Security Hub CSPM 管理員可以建立組態政策,以設定組織的 Security Hub CSPM、安全標準和安全控制。建立組態政策後,委派管理員可以將其與特定帳戶、組織單位 (OUs) 或根帳戶建立關聯。政策接著會在指定的帳戶、OUs 或根帳戶中生效。
如需中央組態優點及其運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。
本節提供組態政策的詳細概觀。
## 政策考量事項
在 Security Hub CSPM 中建立組態政策之前,請考慮下列詳細資訊。
+ **組態政策必須建立關聯才能生效** – 建立組態政策之後,您可以將其與一或多個帳戶、組織單位 (OUs) 或根帳戶建立關聯。組態政策可以透過直接應用程式或從父 OUs 繼承來與帳戶或 OU 建立關聯。
+ **帳戶或 OU 只能與一個組態政策相關聯** – 為了防止設定衝突,帳戶或 OU 在任何指定時間只能與一個組態政策相關聯。或者,帳戶或 OU 可以自我管理。
+ **組態政策已完成** – 組態政策提供設定的完整規格。例如,子帳戶無法接受來自某個政策的某些控制項設定,以及來自另一個政策的其他控制項設定。當您將政策與子帳戶建立關聯時,請確保政策指定您希望子帳戶使用的所有設定。
+ **無法還原組態政策** – 將組態政策與帳戶或 OUs 建立關聯後,就無法還原組態政策。例如,如果您將停用 CloudWatch 控制項的組態政策與特定帳戶建立關聯,然後取消該政策的關聯,則會繼續在該帳戶中停用 CloudWatch 控制項。若要再次啟用 CloudWatch 控制項,您可以將帳戶與啟用控制項的新政策建立關聯。或者,您可以將帳戶變更為自我管理,並啟用帳戶中的每個 CloudWatch 控制項。
+ **組態政策在您的主要區域和所有連結區域中生效** – 組態政策會影響主要區域和所有連結區域中的所有關聯帳戶。您無法建立僅在其中部分區域而非其他區域生效的組態政策。例外狀況是[使用全域資源的控制項](controls-to-disable.md#controls-to-disable-global-resources)。Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。
在 2019 年 3 月 20 日或之後 AWS 引進的區域稱為選擇加入區域。您必須先為帳戶啟用此類區域,組態政策才會在該處生效。Organizations 管理帳戶可以為成員帳戶啟用選擇加入區域。如需啟用選擇加入區域的指示,請參閱[《帳戶管理參考指南》中的指定 AWS 區域 您的帳戶可以使用哪些](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)。 *AWS *
如果您的政策設定的主區域或一或多個連結區域中無法使用的控制項,Security Hub CSPM 會略過無法使用區域中的控制項組態,但在可使用控制項的區域中套用組態。您缺少主區域或任何連結區域中無法使用之控制項的涵蓋範圍。
+ **組態政策是 資源** – 組態政策具有 Amazon Resource Name (ARN) 和通用唯一識別符 (UUID)。ARN 使用以下格式:`arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`。自我管理組態沒有 ARN 或 UUID。自我管理組態的識別符為 `SELF_MANAGED_SECURITY_HUB`。
## 組態政策的類型
每個組態政策都會指定下列設定:
+ 啟用或停用 Security Hub CSPM。
+ 啟用一或多個[安全標準](standards-reference.md)。
+ 指出跨已啟用的標準啟用哪些[安全控制](securityhub-controls-reference.md)。您可以透過提供應啟用的特定控制項清單來執行此操作,Security Hub CSPM 會停用所有其他控制項,包括發行時的新控制項。或者,您可以提供應該停用的特定控制項清單,而 Security Hub CSPM 會啟用所有其他控制項,包括發行時的新控制項。
+ 或者,[自訂跨已啟用標準啟用之選取控制項的參數](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)。
中央組態政策不包含 AWS Config 記錄器設定。您必須分別啟用 AWS Config 和開啟必要資源的記錄,Security Hub CSPM 才能產生控制問題清單。如需詳細資訊,請參閱[啟用和設定 之前的考量事項 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)。
如果您使用中央組態,Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。在可用的所有區域中啟用組態政策時,您選擇啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域,您可以更新 AWS Config 記錄器設定,並關閉主要區域以外的所有區域中的全域資源記錄。
如果主區域中不支援涉及全域資源的已啟用控制項,Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態時,您缺乏無法在主要區域或任何連結區域中使用的控制項涵蓋範圍。
如需涉及全域資源的控制項清單,請參閱 [使用全域資源的控制項](controls-to-disable.md#controls-to-disable-global-resources)。
### 建議的組態政策
*第一次在 Security Hub CSPM 主控台中*建立組態政策時,您可以選擇 Security Hub CSPM 建議的政策。
建議的政策可啟用 Security Hub CSPM、 AWS 基礎安全最佳實務 (FSBP) 標準,以及所有現有和新的 FSBP 控制項。接受參數的控制項會使用預設值。建議的政策適用於根 (所有帳戶和 OUs,包括新帳戶和現有帳戶)。為您的組織建立建議的政策之後,您可以從委派的管理員帳戶修改該政策。例如,您可以啟用其他標準或控制項,或停用特定的 FSBP 控制項。如需修改組態政策的說明,請參閱 [更新組態政策](update-policy.md)。
### 自訂組態政策
委派管理員可以建立最多 20 個自訂組態政策,而不是建議的政策。您可以將單一自訂政策與整個組織建立關聯,或將不同的自訂政策與不同的帳戶和 OUs建立關聯。對於自訂組態政策,您可以指定所需的設定。例如,您可以建立自訂政策,以啟用 FSBP、網際網路安全中心 (CIS) AWS Foundations Benchmark v1.4.0,以及這些標準中的所有控制項,但 Amazon Redshift 控制項除外。您在自訂組態政策中使用的精細程度取決於整個組織的預期安全涵蓋範圍。
**注意**
您無法將停用 Security Hub CSPM 的組態政策與委派管理員帳戶建立關聯。這類政策可以與其他帳戶建立關聯,但會略過與委派管理員的關聯。委派的管理員帳戶會保留其目前的組態。
建立自訂組態政策後,您可以更新組態政策以反映建議的組態,以切換至建議的組態政策。不過,在建立第一個政策之後,您看不到在 Security Hub CSPM 主控台中建立建議組態政策的選項。
## 透過應用程式和繼承的政策關聯
當您第一次選擇加入中央組態時,您的組織沒有關聯,並採取與選擇加入之前相同的行為。委派管理員接著可以在組態政策或自我管理行為與帳戶、OUs 或根帳戶之間建立關聯。關聯可以透過*應用程式*或*繼承*來建立。
從委派管理員帳戶,您可以直接將組態政策套用至帳戶、OU 或根帳戶。或者,委派管理員可以直接將自我管理的指定套用至帳戶、OU 或根帳戶。
如果沒有直接應用程式,帳戶或 OU 會繼承具有組態政策或自我管理行為的最近父系設定。如果最接近的父項與組態政策相關聯,子項會繼承該政策,並且只能由主要區域的委派管理員進行設定。如果最接近的父系是自我管理的,子系會繼承自我管理的行為,並能夠在每個行為中指定自己的設定 AWS 區域。
應用程式優先於繼承。換言之,繼承不會覆寫委派管理員直接套用至帳戶或 OU 的組態政策或自我管理指定。
如果您直接將組態政策套用至自我管理帳戶,政策會覆寫自我管理的指定。帳戶會成為集中管理,並採用組態政策中反映的設定。
我們建議將組態政策直接套用至根目錄。如果您將政策套用到根帳戶,則加入組織的新帳戶會自動繼承根政策,除非您將它們與不同的政策建立關聯或將其指定為自我管理。
在指定時間,透過應用程式或繼承,只能有一個組態政策與帳戶或 OU 相關聯。這是為了防止設定衝突而設計。
下圖說明政策應用程式和繼承如何在中央組態中運作。
![\[套用和繼承 Security Hub CSPM 組態政策\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)
在此範例中,以綠色反白顯示的節點具有已套用的組態政策。以藍色反白顯示的節點沒有套用到它的組態政策。以黃色反白顯示的節點已指定為自我管理。每個帳戶和 OU 使用以下組態:
+ **OU:Root (綠色)** – 此 OU 使用套用到它的組態政策。
+ **OU:Prod (藍色)** – 此 OU 繼承來自 OU:Root 的組態政策。
+ **OU:應用程式 (綠色)** – 此 OU 使用已套用到它的組態政策。
+ **帳戶 1 (綠色)** – 此帳戶使用套用到它的組態政策。
+ **帳戶 2 (藍色)** – 此帳戶繼承來自 OU:Applications 的組態政策。
+ **OU:Dev (黃色)** – 此 OU 是自我管理的。
+ **帳戶 3 (綠色)** – 此帳戶使用套用到它的組態政策。
+ **帳戶 4 (藍色)** – 此帳戶繼承自 OU:Dev 的自我管理行為。
+ **OU:Test (藍色)** – 此帳戶繼承來自 OU:Root 的組態政策。
+ **帳戶 5 (藍色)** – 此帳戶繼承 OU:Root 的組態政策,因為其直接父系 OU:Test 未與組態政策相關聯。
## 測試組態政策
為了確保您了解組態政策的運作方式,建議您建立一個政策,並將其與測試帳戶或 OU 建立關聯。
**測試組態政策**
1. 建立自訂組態政策,並確認 Security Hub CSPM 啟用、標準和控制項的指定設定正確無誤。如需說明,請參閱[建立和關聯組態政策](create-associate-policy.md)。
1. 將組態政策套用至沒有任何子帳戶或 OU 的測試帳戶或 OUs。
1. 確認測試帳戶或 OU 以您主要區域和所有連結區域中的預期方式使用組態政策。您也可以驗證組織中的所有其他帳戶和 OUs 保持自我管理,並且可以在每個區域中變更自己的設定。
在單一帳戶或 OU 中測試組態政策之後,您可以將其與其他帳戶和 OUs 建立關聯。
# 建立和關聯組態政策
委派的 AWS Security Hub CSPM 管理員帳戶可以建立組態政策,指定如何在指定的帳戶和組織單位 (OUs) 中設定 Security Hub CSPM、標準和控制項。只有在委派管理員將其與至少一個帳戶或組織單位 (OUs) 或根關聯之後,組態政策才會生效。委派管理員也可以將自我管理組態與帳戶、OUs 或根建立關聯。
如果這是您第一次建立組態政策,我們建議您先檢閱 [組態政策如何在 Security Hub CSPM 中運作](configuration-policies-overview.md)。
選擇您偏好的存取方法,並依照步驟建立和關聯組態政策或自我管理組態。使用 Security Hub CSPM 主控台時,您可以同時將組態與多個帳戶或 OUs建立關聯。使用 Security Hub CSPM API 或 時 AWS CLI,您在每個請求中只能將組態與一個帳戶或 OU 建立關聯。
**注意**
如果您使用中央組態,Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。您選擇在可用的所有區域中啟用組態政策時啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域,您可以更新 AWS Config 記錄器設定,並關閉主要區域以外的所有區域中的全域資源記錄。
如果主區域不支援涉及全域資源的已啟用控制項,Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態時,您無法涵蓋主要區域或任何連結區域中無法使用的控制項。
如需涉及全域資源的控制項清單,請參閱 [使用全域資源的控制項](controls-to-disable.md#controls-to-disable-global-resources)。
------
#### [ Security Hub CSPM console ]
**建立和關聯組態政策**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的登入資料登入。
1. 在導覽窗格中,選擇**組態**和**政策**索引標籤。然後,選擇**建立政策**。
1. 在**設定組織**頁面上,如果這是您第一次建立組態政策,您會在**組態類型**下看到三個選項。如果您已建立至少一個組態政策,則只會看到**自訂政策**選項。
+ 選擇**在整個組織中使用 AWS 建議的 Security Hub CSPM 組態**,以使用我們的建議政策。建議的政策會在所有組織帳戶中啟用 Security Hub CSPM、啟用 AWS 基礎安全最佳實務 (FSBP) 標準,以及啟用所有新的和現有的 FSBP 控制項。控制項使用預設參數值。
+ 選擇**我尚未準備好進行設定**,以便稍後建立組態政策。
+ 選擇**自訂政策**以建立自訂組態政策。指定是否啟用或停用 Security Hub CSPM、要啟用哪些標準,以及要跨這些標準啟用哪些控制項。或者,為支援[自訂參數的一或多個已啟用控制項指定自訂參數值](custom-control-parameters.md)。
1. 在**帳戶**區段中,選擇您要套用組態政策的目標帳戶、OUs 或根帳戶。
+ 如果您想要將組態政策套用至根帳戶,請選擇**所有帳戶**。這包括組織中未套用或繼承其他政策的所有帳戶和 OUs。
+ 如果您想要將組態政策套用至**特定帳戶**或 OUs請選擇特定帳戶。輸入帳戶 IDs,或從組織結構中選取帳戶和 OUs。建立政策時,您最多可以將政策套用至 15 個目標 (帳戶、OUs 或根目錄)。若要指定較大的數字,請在建立後編輯您的政策,並將其套用至其他目標。
+ 選擇**委派管理員,僅**將組態政策套用至目前的委派管理員帳戶。
1. 選擇**下一步**。
1. 在**檢閱和套用**頁面上,檢閱您的組態政策詳細資訊。然後,選擇**建立政策並套用**。在您的主要區域和連結區域中,此動作會覆寫與此組態政策相關聯之帳戶的現有組態設定。帳戶可能會透過應用程式或從父節點繼承,與組態政策相關聯。套用目標的子帳戶和 OUs 將自動繼承此組態政策,除非明確排除、自我管理或使用不同的組態政策。
------
#### [ Security Hub CSPM API ]
**建立和關聯組態政策**
1. 從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API。
1. 針對 `Name`,提供組態政策的唯一名稱。或者,對於 `Description`,提供組態政策的描述。
1. 針對 `ServiceEnabled` 欄位,指定您希望在此組態政策中啟用或停用 Security Hub CSPM。
1. 針對 `EnabledStandardIdentifiers` 欄位,指定您要在此組態政策中啟用哪些 Security Hub CSPM 標準。
1. 針對 `SecurityControlsConfiguration` 物件,指定您要在此組態政策中啟用或停用哪些控制項。選擇 `EnabledSecurityControlIdentifiers` 表示已啟用指定的控制項。屬於已啟用標準 (包括新發佈的控制項) 的其他控制項已停用。選擇 `DisabledSecurityControlIdentifiers` 表示已停用指定的控制項。啟用屬於已啟用標準 (包括新發佈的控制項) 的其他控制項。
1. 或者,對於 `SecurityControlCustomParameters` 欄位,指定您要自訂參數的已啟用控制項。`CUSTOM` 為 `ValueType` 欄位提供 ,並為 `Value` 欄位提供自訂參數值。此值必須是正確的資料類型,且在 Security Hub CSPM 指定的有效範圍內。僅選取控制項支援自訂參數值。如需詳細資訊,請參閱[了解 Security Hub CSPM 中的控制參數](custom-control-parameters.md)。
1. 若要將組態政策套用至帳戶或 OUs,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。
1. 針對 `ConfigurationPolicyIdentifier` 欄位,提供政策的 Amazon Resource Name (ARN) 或通用唯一識別碼 (UUID)。`CreateConfigurationPolicy` API 會傳回 ARN 和 UUID。對於自我管理組態, `ConfigurationPolicyIdentifier` 欄位等於 `SELF_MANAGED_SECURITY_HUB`。
1. 針對 `Target` 欄位,提供您要套用此組態政策的 OU、帳戶或根 ID。每個 API 請求只能提供一個目標。所選目標的子帳戶和 OUs 將自動繼承此組態政策,除非它們是自我管理或使用不同的組態政策。
**建立組態政策的 API 請求範例:**
```
{
"Name": "SampleConfigurationPolicy",
"Description": "Configuration policy for production accounts",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
**建立組態政策關聯的 API 請求範例:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```
------
#### [ AWS CLI ]
**建立和關聯組態政策**
1. 從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)命令。
1. 針對 `name`,提供組態政策的唯一名稱。或者,對於 `description`,提供組態政策的描述。
1. 針對 `ServiceEnabled` 欄位,指定您希望在此組態政策中啟用或停用 Security Hub CSPM。
1. 針對 `EnabledStandardIdentifiers` 欄位,指定您要在此組態政策中啟用哪些 Security Hub CSPM 標準。
1. 針對 `SecurityControlsConfiguration` 欄位,指定您要在此組態政策中啟用或停用哪些控制項。選擇 `EnabledSecurityControlIdentifiers` 表示已啟用指定的控制項。屬於已啟用標準 (包括新發佈的控制項) 的其他控制項已停用。選擇 `DisabledSecurityControlIdentifiers` 表示已停用指定的控制項。會啟用適用於已啟用標準 (包括新發佈的控制項) 的其他控制項。
1. 或者,對於 `SecurityControlCustomParameters` 欄位,指定您要自訂參數的已啟用控制項。`CUSTOM` 為 `ValueType` 欄位提供 ,並為 `Value` 欄位提供自訂參數值。此值必須是正確的資料類型,且在 Security Hub CSPM 指定的有效範圍內。僅選取控制項支援自訂參數值。如需詳細資訊,請參閱[了解 Security Hub CSPM 中的控制參數](custom-control-parameters.md)。
1. 若要將組態政策套用至帳戶或 OUs,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。
1. 針對 `configuration-policy-identifier` 欄位,提供組態政策的 Amazon Resource Name (ARN) 或 ID。此 ARN 和 ID 由 `create-configuration-policy`命令傳回。
1. 針對 `target` 欄位,提供您要套用此組態政策的 OU、帳戶或根 ID。每次執行命令時只能提供一個目標。所選目標的子項將自動繼承此組態政策,除非它們是自我管理或使用不同的組態政策。
**建立組態政策的範例命令:**
```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
**建立組態政策關聯的範例命令:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```
------
`StartConfigurationPolicyAssociation` API 會傳回名為 的欄位`AssociationStatus`。此欄位會告訴您政策關聯是待定還是處於成功或失敗狀態。狀態最多可能需要 24 小時才能從 變更為 `PENDING``SUCCESS`或 `FAILURE`。如需關聯狀態的詳細資訊,請參閱 [檢閱組態政策的關聯狀態](view-policy.md#configuration-association-status)。
# 檢閱組態政策的狀態和詳細資訊
委派的 AWS Security Hub CSPM 管理員可以檢視組織的組態政策及其詳細資訊。這包括與政策相關聯的帳戶和組織單位 (OUs)。
如需中央組態優點及其運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。
選擇您偏好的方法,然後依照步驟檢視您的組態政策。
------
#### [ Security Hub CSPM console ]
**檢視組態政策 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。
1. 在導覽窗格中,選擇**設定**和**組態**。
1. 選擇**政策**索引標籤以取得組態政策的概觀。
1. 選取組態政策,然後選擇**檢視詳細資訊**以查看其相關其他詳細資訊,包括與其相關聯的帳戶和 OUs。
------
#### [ Security Hub CSPM API ]
若要檢視所有組態政策的摘要清單,請使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)的操作。如果您使用 AWS CLI,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)命令。委派的 Security Hub CSPM 管理員帳戶應該叫用主區域中的操作。
```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```
若要檢視特定組態政策的詳細資訊,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)操作。如果您使用 AWS CLI,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)。委派的管理員帳戶應該叫用主區域中的 操作。提供您要查看其詳細資訊之組態政策的 Amazon Resource Name (ARN) 或 ID。
```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
若要檢視所有組態政策及其帳戶關聯的摘要清單,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)操作。如果您使用 AWS CLI,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)命令。委派的管理員帳戶應該叫用主區域中的 操作。或者,您可以提供分頁參數,或依特定政策 ID、關聯類型或關聯狀態篩選結果。
```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```
若要檢視特定帳戶的關聯,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)操作。如果您使用 AWS CLI,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)命令。委派的管理員帳戶應該叫用主區域中的 操作。針對 `target`,請提供帳戶號碼、OU ID 或根 ID。
```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```
------
## 檢閱組態政策的關聯狀態
下列中央組態 API 操作會傳回名為 的欄位`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`
當基礎組態是組態政策和自我管理行為時,此欄位都會傳回。
的值`AssociationStatus`會告訴您政策關聯是擱置中,還是處於特定帳戶的成功或失敗狀態。狀態最多可能需要 24 小時才能從 變更為 `PENDING``SUCCESS`或 `FAILED`。狀態 `SUCCESS`表示組態政策中指定的所有設定都與帳戶相關聯。狀態 `FAILED`表示組態政策中指定的一或多個設定無法與帳戶建立關聯。儘管`FAILED`狀態為 ,仍可根據政策部分設定帳戶。例如,您可能嘗試將帳戶與啟用 Security Hub CSPM 的組態政策建立關聯,啟用 AWS 基礎安全最佳實務,並停用 CloudTrail.1. 最初的兩個設定可能會成功,但 CloudTrail.1 設定可能會失敗。在此範例中,`FAILED`即使部分設定已正確設定,關聯狀態仍為 。
父 OU 或根的關聯狀態取決於其子系的狀態。如果所有子系的關聯狀態為 `SUCCESS`,則父系的關聯狀態為 `SUCCESS`。如果一或多個子系的關聯狀態為 `FAILED`,則父系的關聯狀態為 `FAILED`。
的值`AssociationStatus`取決於所有相關區域中政策的關聯狀態。如果關聯在主要區域和所有連結區域中成功,則 的值`AssociationStatus`為 `SUCCESS`。如果其中一或多個區域中的關聯失敗,則 的值`AssociationStatus`為 `FAILED`。
下列行為也會影響 的值`AssociationStatus`:
+ 如果目標是父系 OU 或根,`FAILED`則只有在所有子系都有 `SUCCESS`或 `FAILED` 狀態時,目標才會有 `AssociationStatus` `SUCCESS`或 。如果在您第一次將父系與組態建立關聯之後,子帳戶或 OU 的關聯狀態變更 (例如,新增或移除連結區域時),除非您再次叫用 `StartConfigurationPolicyAssociation` API,否則變更不會更新父系的關聯狀態。
+ 如果目標是 帳戶,則`FAILED`只有在 關聯的結果為 `AssociationStatus``SUCCESS`或在`FAILED`主區域和所有連結區域中時,該目標才會有 `SUCCESS`或 。如果目標帳戶的關聯狀態在您第一次將其與組態建立關聯後變更 (例如,新增或移除連結區域時),則會更新其關聯狀態。不過,除非您再次叫用 `StartConfigurationPolicyAssociation` API,否則變更不會更新父系的關聯狀態。
如果您新增連結的區域,Security Hub CSPM 會複寫新區域中處於 `PENDING`、 `SUCCESS`或 `FAILED` 狀態的現有關聯。
即使關聯狀態為 `SUCCESS`,作為政策一部分的標準啟用狀態也可以轉換為不完整的狀態。在這種情況下,Security Hub CSPM 無法產生標準控制項的問題清單。如需詳細資訊,請參閱[檢查標準的狀態](enable-standards.md#standard-subscription-status)。
## 對關聯失敗進行故障診斷
在 AWS Security Hub CSPM 中,組態政策關聯可能會失敗,原因如下。
+ **Organizations 管理帳戶不是成員** – 如果您想要將組態政策與 Organizations 管理帳戶建立關聯,則該帳戶必須已啟用 AWS Security Hub CSPM。這會使管理帳戶成為組織中的成員帳戶。
+ **AWS Config 未啟用或正確設定** – 若要在組態政策中啟用標準, AWS Config 必須啟用並設定 來記錄相關資源。
+ **必須從委派管理員帳戶建立關聯** – 只有在您登入委派 Security Hub CSPM 管理員帳戶時,才能將政策與目標帳戶和 OUs 建立關聯。
+ **必須從主要區域建立關聯** – 只有在您登入主要區域時,才能將政策與目標帳戶和 OUs 建立關聯。
+ **未啟用選擇加入區域** – 如果已連結區域中的成員帳戶或 OU 是尚未啟用委派管理員的選擇加入區域,則政策關聯會失敗。您可以在從委派的管理員帳戶啟用區域後重試。
+ **成員帳戶暫停** – 如果您嘗試將政策與暫停成員帳戶建立關聯,政策關聯會失敗。
# 更新組態政策
建立組態政策後,委派的 AWS Security Hub CSPM 管理員帳戶可以更新政策詳細資訊和政策關聯。更新政策詳細資訊時,與組態政策相關聯的帳戶會自動開始使用更新的政策。
如需中央組態優點及其運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。
委派管理員可以更新下列政策設定:
+ 啟用或停用 Security Hub CSPM。
+ 啟用一或多個[安全標準](standards-reference.md)。
+ 指出跨已啟用的標準啟用哪些[安全控制](securityhub-controls-reference.md)。您可以透過提供應啟用的特定控制項清單來執行此操作,Security Hub CSPM 會停用所有其他控制項,包括發行時的新控制項。或者,您可以提供應停用的特定控制項清單,而 Security Hub CSPM 會啟用所有其他控制項,包括發行時的新控制項。
+ 或者,[自訂跨已啟用標準啟用之選取控制項的參數](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)。
選擇您偏好的方法,然後依照步驟更新組態政策。
**注意**
如果您使用中央組態,Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。在可用的所有區域中啟用組態政策時,您選擇啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域,您可以更新 AWS Config 記錄器設定,並關閉主要區域以外所有區域中的全域資源記錄。
如果主區域不支援涉及全域資源的已啟用控制項,Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態,您缺乏主區域或任何連結區域中無法使用之控制項的涵蓋範圍。
如需涉及全域資源的控制項清單,請參閱 [使用全域資源的控制項](controls-to-disable.md#controls-to-disable-global-resources)。
------
#### [ Console ]
**更新組態政策**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。
1. 在導覽窗格中,選擇**設定**和**組態**。
1. 選擇 **Policies (政策)** 標籤。
1. 選取您要編輯的組態政策,然後選擇**編輯**。如有需要,請編輯政策設定。如果您想要保持政策設定不變,請將本節保持原狀。
1. 選擇**下一步**。如有需要,請編輯政策關聯。如果您想要讓政策關聯保持不變,請將本節保持不變。更新時,您可以將政策與最多 15 個目標 (帳戶、OUs 或根帳戶) 建立關聯或取消關聯。
1. 選擇**下一步**。
1. 檢閱您的變更,然後選擇**儲存並套用**。在您的主要區域和連結區域中,此動作會覆寫與此組態政策相關聯之帳戶的現有組態設定。帳戶可以透過應用程式或從父節點繼承,與組態政策相關聯。
------
#### [ API ]
**更新組態政策**
1. 若要更新組態政策中的設定,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。
1. 提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。
1. 提供 下欄位的更新值`ConfigurationPolicy`。您也可以選擇性地提供更新的原因。
1. 若要為此組態政策新增關聯,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。若要移除一或多個目前的關聯,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API。
1. 針對 `ConfigurationPolicyIdentifier` 欄位,提供您要更新其關聯的組態政策 ARN 或 ID。
1. 針對 `Target` 欄位,提供您要關聯或取消關聯的帳戶、OUs 或根 ID。此動作會覆寫指定 OUs 或帳戶的先前政策關聯。
**注意**
當您叫用 `UpdateConfigurationPolicy` API 時,Security Hub CSPM 會為 `EnabledStandardIdentifiers`、`DisabledSecurityControlIdentifiers`、 `EnabledSecurityControlIdentifiers`和 `SecurityControlCustomParameters` 欄位執行完整清單取代。每次叫用此 API 時,請提供您要啟用的完整標準清單,以及您要啟用或停用和自訂參數的完整控制項清單。
**更新組態政策的 API 請求範例:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
------
#### [ AWS CLI ]
**更新組態政策**
1. 若要更新組態政策中的設定,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)命令。
1. 提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。
1. 提供 下欄位的更新值`configuration-policy`。您也可以選擇性地提供更新的原因。
1. 若要為此組態政策新增關聯,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。若要移除一或多個目前關聯,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。
1. 針對 `configuration-policy-identifier` 欄位,提供您要更新其關聯的組態政策 ARN 或 ID。
1. 針對 `target` 欄位,提供您要關聯或取消關聯的帳戶、OUs 或根 ID。此動作會覆寫指定 OUs 或帳戶的先前政策關聯。
**注意**
當您執行 `update-configuration-policy`命令時,Security Hub CSPM 會為 `EnabledStandardIdentifiers`、`DisabledSecurityControlIdentifiers`、 `EnabledSecurityControlIdentifiers`和 `SecurityControlCustomParameters` 欄位執行完整清單取代。每次執行此命令時,請提供您要啟用的完整標準清單,以及您要啟用或停用和自訂參數的完整控制項清單。
**更新組態政策的範例命令:**
```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
------
`StartConfigurationPolicyAssociation` API 會傳回名為 的欄位`AssociationStatus`。此欄位會告訴您政策關聯是待定還是處於成功或失敗狀態。狀態最多可能需要 24 小時才能從 變更為 `PENDING``SUCCESS`或 `FAILURE`。如需關聯狀態的詳細資訊,請參閱 [檢閱組態政策的關聯狀態](view-policy.md#configuration-association-status)。
# 刪除組態政策
建立組態政策後,委派的 AWS Security Hub CSPM 管理員可以將其刪除。或者,委派管理員可以保留政策,但將其與特定帳戶或組織單位 (OUs) 或根帳戶取消關聯。如需取消政策關聯的指示,請參閱 [取消組態與其目標的關聯](disassociate-policy.md)。
如需中央組態優點及其運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。
本節說明如何刪除組態政策。
當您刪除組態政策時,您的組織不會再有該政策。目標帳戶、OUs 和組織根目錄無法再使用組態政策。與已刪除組態政策相關聯的目標會繼承最接近父項的組態政策,或在最接近的父項為自我管理時成為自我管理的目標。如果您希望目標使用不同的組態,您可以將目標與新的組態政策建立關聯。如需詳細資訊,請參閱[建立和關聯組態政策](create-associate-policy.md)。
我們建議您建立至少一個組態政策並與您的組織建立關聯,以提供足夠的安全涵蓋範圍。
您必須先取消政策與目前套用的任何帳戶、OUs 或根的關聯,才能刪除組態政策。
選擇您偏好的方法,然後依照步驟刪除組態政策。
------
#### [ Console ]
**刪除組態政策**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的登入資料登入。
1. 在導覽窗格中,選擇**設定**和**組態**。
1. 選擇 **Policies (政策)** 標籤。選取您要刪除的組態政策,然後選擇**刪除**。如果組態政策仍然與任何帳戶或 OUs相關聯,系統會提示您先取消政策與這些目標的關聯,然後才能將其刪除。
1. 檢閱確認訊息。輸入 **confirm**,然後選擇**刪除**。
------
#### [ API ]
**刪除組態政策**
從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) API。
提供您要刪除之組態政策的 Amazon Resource Name (ARN) 或 ID。如果您收到`ConflictException`錯誤,則組態政策仍然適用於組織中的帳戶或 OUs。若要解決錯誤,請先取消組態政策與這些帳戶或 OUs關聯,再嘗試將其刪除。
**刪除組態政策的 API 請求範例:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```
------
#### [ AWS CLI ]
**刪除組態政策**
從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)命令。
提供您要刪除之組態政策的 Amazon Resource Name (ARN) 或 ID。如果您收到`ConflictException`錯誤,則組態政策仍然適用於組織中的帳戶或 OUs。若要解決錯誤,請先取消組態政策與這些帳戶或 OUs關聯,再嘗試將其刪除。
```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
# 取消組態與其目標的關聯
從委派的 AWS Security Hub CSPM 管理員帳戶,您可以取消組態政策或自我管理組態與帳戶、OU 或根的關聯。取消關聯會保留政策以供日後使用,但會從特定帳戶、OUs 或根帳戶移除現有的關聯。您只能取消直接套用組態的關聯,而不能取消繼承組態的關聯。若要變更繼承的組態,您可以將組態政策或自我管理行為套用至受影響的帳戶或 OU。您也可以將包含所需修改的新組態政策套用至最近的父系。
取消關聯*不會*刪除組態政策。政策會保留在您的帳戶中,因此您可以將其與組織中的其他目標建立關聯。如需刪除組態政策的指示,請參閱 [刪除組態政策](delete-policy.md)。當取消關聯完成時,受影響的目標會繼承最接近父項的組態政策或自我管理行為。如果沒有可繼承的組態,目標會在取消關聯之前保留其設定,但會成為自我管理。
選擇您偏好的方法,並依照步驟取消帳戶、OU 或根與其目前組態的關聯。
------
#### [ Console ]
**取消帳戶或 OU 與其目前組態的關聯**
1. 開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的登入資料登入。
1. 在導覽窗格中,選擇**設定**和**組態**。
1. 在**組織**索引標籤上,選取要與目前組態取消關聯的帳戶、OU 或根目錄。選擇**編輯**。
1. 在**定義組態**頁面上,針對**管理**,如果您希望委派管理員能夠將**政策**直接套用至目標,請選擇套用的政策。如果您希望目標繼承其最近父系的組態,請選擇**繼承**。在這些情況下,委派管理員會控制目標的設定。如果您希望帳戶或 OU 控制自己的設定,請選擇**自我管理**。
1. 檢閱您的變更後,選擇**下一步**並**套用**。如果這些組態與您目前的選擇衝突,此動作會覆寫範圍內任何帳戶或 OUs 的現有組態。
------
#### [ API ]
**取消帳戶或 OU 與其目前組態的關聯**
1. 從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API。
1. 針對 `ConfigurationPolicyIdentifier`,提供您要取消關聯的組態政策的 Amazon Resource Name (ARN) 或 ID。`SELF_MANAGED_SECURITY_HUB` 提供此欄位以取消自我管理行為的關聯。
1. 針對 `Target`,提供您要與此組態政策取消關聯的帳戶、OUs 或根帳戶。
**取消組態政策關聯的 API 請求範例:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"RootId": "r-f6g7h8i9j0example"}
}
```
------
#### [ AWS CLI ]
**取消帳戶或 OU 與其目前組態的關聯**
1. 從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)命令。
1. 針對 `configuration-policy-identifier`,提供您要取消關聯的組態政策的 Amazon Resource Name (ARN) 或 ID。`SELF_MANAGED_SECURITY_HUB` 提供此欄位以取消自我管理行為的關聯。
1. 針對 `target`,提供您要與此組態政策取消關聯的帳戶、OUs 或根帳戶。
**取消組態政策關聯的命令範例:**
```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```
------
# 在內容中設定標準或控制項
當您在 AWS Security Hub CSPM 中使用[中央組態](central-configuration-intro.md)時,委派的 Security Hub CSPM 管理員可以建立組態政策,以指定如何為組織設定 Security Hub CSPM、安全標準和安全控制。委派管理員可以將政策與特定帳戶和組織單位 (OU) 建立關聯。這些政策在您的主要區域和所有連結區域中生效。委派管理員可以視需要更新組態政策。
在 Security Hub CSPM 主控台上,委派管理員可以透過兩種方式更新組態政策:從**組態**頁面或現有工作流程的內容。後者可能很有幫助,因為當您檢視安全調查結果時,您可以探索哪些標準和控制項與您的環境最相關,並同時進行設定。
內容內組態僅適用於 Security Hub CSPM 主控台。委派管理員必須以程式設計方式叫用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)的操作,以變更組織中設定特定標準或控制項的方式。
請依照下列步驟,在內容中設定 Security Hub CSPM 標準或控制項。
**在內容中設定標準或控制項 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。
1. 在導覽窗格中,選擇下列其中一個選項:
+ 若要設定標準,請選擇**安全標準**,然後選擇特定標準。
+ 若要設定控制項,請選擇**控制項**,然後選擇特定控制項。
1. 主控台會列出您現有的 Security Hub CSPM 組態政策,以及每個政策中所選標準或控制項的狀態。選擇選項以啟用或停用每個現有組態政策中的標準或控制項。對於控制項,您也可以選擇自訂[控制項參數](custom-control-parameters.md)。您無法在內容內組態期間建立新的政策。若要建立新的政策,您必須前往**組態**頁面,選擇**政策**索引標籤,然後選擇**建立政策**。
1. 進行變更後,請選擇**下一步**。
1. 檢閱您的變更,然後選擇**套用**。更新會影響與已變更組態政策相關聯的所有帳戶和 OUs。更新也會在主要區域和所有連結區域中生效。
# 在 Security Hub CSPM 中停用中央組態
當您在 AWS Security Hub CSPM 中停用中央組態時,委派管理員將無法跨多個組織單位 (OUs) 和 設定 Security Hub CSPM AWS 帳戶、安全標準和安全控制 AWS 區域。相反地,您必須為每個區域中的每個帳戶分別設定大多數設定。
**重要**
在停用中央組態之前,您必須先[取消帳戶和 OUs 與其目前組態的關聯](disassociate-policy.md),無論是組態政策還是自我管理行為。
您必須先[刪除現有的組態政策,才能停用中央組態](delete-policy.md)。
當您停用中央組態時,會發生下列變更:
+ 委派管理員無法再為組織建立組態政策。
+ 已套用或繼承組態政策的帳戶會保留其目前的設定,但會自我管理。
+ 您的組織會切換到*本機組態*。在本機組態下,大多數 Security Hub CSPM 設定都必須在每個組織帳戶和區域中分別設定。委派管理員可以選擇自動啟用 Security Hub CSPM、[預設安全標準](securityhub-auto-enabled-standards.md),以及屬於新組織帳戶中預設標準一部分的所有控制項。預設標準為 AWS 基礎安全最佳實務 (FSBP) 和網際網路安全中心 (CIS) AWS Foundations Benchmark 1.2.0 版。這些設定只會在目前區域中生效,並且只會影響新的組織帳戶。委派管理員無法變更預設的標準。本機組態不支援在 OU 層級使用組態政策或組態。
當您停止使用中央組態時,委派管理員帳戶的身分會保持不變。您的主要區域和連結區域也保持不變 (您的主要區域現在稱為彙總區域,可用於尋找彙總)。
選擇您偏好的方法,然後依照步驟停用中央組態並切換到本機組態。
------
#### [ Security Hub CSPM console ]
**停用中央組態 (主控台)**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。
1. 在導覽窗格中,選擇**設定**和**組態**。
1. 在**概觀**區段中,選擇**編輯**。
1. 在**編輯組織組態**方塊中,選擇**本機組態**。如果您還沒有,系統會提示您取消關聯並刪除目前的組態政策,然後才能停止中央組態。指定為自我管理的帳戶或 OUs 必須與其自我管理組態取消關聯。您可以在 主控台中執行此操作,方法是[將每個自我管理帳戶或 OU 的管理類型變更為](central-configuration-management-type.md#choose-management-type)**集中管理和****從我的組織繼承**。
1. 或者,選取新組織帳戶的本機組態設定。
1. 選擇**確認**。
------
#### [ Security Hub CSPM API ]
**停用中央組態 (API)**
1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。
1. 將 `OrganizationConfiguration` 物件中的 `ConfigurationType` 欄位設定為 `LOCAL`。如果您有現有的組態政策或政策關聯,API 會傳回錯誤。若要取消關聯組態政策,請叫用 `StartConfigurationPolicyDisassociation` API。若要刪除組態政策,請叫用 `DeleteConfigurationPolicy` API。
1. 如果您想要在新的組織帳戶中自動啟用 Security Hub CSPM,請將 `AutoEnable` 欄位設定為 `true`。根據預設,此欄位的值為 `false`,且 Security Hub CSPM 不會在新組織帳戶中自動啟用。或者,如果您想要在新的組織帳戶中自動啟用預設安全標準,請將 `AutoEnableStandards` 欄位設定為 `DEFAULT`。這是預設值。如果您不想在新的組織帳戶中自動啟用預設安全標準,請將 `AutoEnableStandards` 欄位設定為 `NONE`。
**範例 API 請求:**
```
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
```
------
#### [ AWS CLI ]
**停用中央組態 (AWS CLI)**
1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 命令。
1. 將 `organization-configuration` 物件中的 `ConfigurationType` 欄位設定為 `LOCAL`。如果您有現有的組態政策或政策關聯, 命令會傳回錯誤。若要取消與組態政策的關聯,請執行 `start-configuration-policy-disassociation`命令。若要刪除組態政策,請執行 `delete-configuration-policy`命令。
1. 如果您想要在新的組織帳戶中自動啟用 Security Hub CSPM,請包含 `auto-enable` 參數。根據預設,此參數的值為 `no-auto-enable`,且 Security Hub CSPM 不會在新組織帳戶中自動啟用。或者,如果您想要在新的組織帳戶中自動啟用預設安全標準,請將 `auto-enable-standards` 欄位設定為 `DEFAULT`。這是預設值。如果您不想在新的組織帳戶中自動啟用預設安全標準,請將 `auto-enable-standards` 欄位設定為 `NONE`。
```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```
------