本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Security Hub CSPM 中啟用控制項
<a name="securityhub-standards-enable-disable-controls"></a>

在 AWS Security Hub CSPM 中，控制項是安全標準中的保護措施，可協助組織保護資訊的機密性、完整性和可用性。每個 Security Hub CSPM 控制項都與特定 AWS 資源相關。當您啟用控制項時，Security Hub CSPM 會開始執行控制項的安全檢查，並為其產生問題清單。計算安全分數時，Security Hub CSPM 也會考慮所有啟用的控制項。

您可以選擇在其套用的所有安全標準中啟用控制項。或者，您可以在不同的標準中以不同的方式設定啟用狀態。我們建議使用前一個選項，其中控制項的啟用狀態會與所有已啟用的標準保持一致。如需在套用控制項的所有標準中啟用控制項的指示，請參閱 [啟用跨標準的控制](enable-controls-overview.md)。如需在特定標準中啟用控制項的指示，請參閱 [在特定標準中啟用控制項](controls-configure.md)。

如果您啟用跨區域彙總並登入彙總區域，Security Hub CSPM 主控台會顯示至少一個連結區域中可用的控制項。如果控制項可在連結區域中使用，但無法在彙總區域中使用，則您無法從彙總區域啟用或停用該控制項。

您可以使用 Security Hub CSPM 主控台、Security Hub CSPM API 或 來啟用和停用每個區域中的控制項 AWS CLI。

啟用和停用控制項的指示會根據您是否使用[中央組態](central-configuration-intro.md)而有所不同。本主題說明差異。整合 Security Hub CSPM 和 的使用者可使用中央組態 AWS Organizations。建議使用中央組態來簡化在多帳戶、多區域環境中啟用和停用控制項的程序。如果您使用中央組態，您可以透過使用組態政策跨多個帳戶和區域啟用控制項。如果您不使用中央組態，則必須在每個區域和帳戶中分別啟用控制項。

# 啟用跨標準的控制
<a name="enable-controls-overview"></a>

我們建議在套用控制項的所有標準中啟用 AWS Security Hub CSPM 控制。如果您開啟合併的控制項問題清單，即使控制項屬於多個標準，每個控制項檢查也會收到一個問題清單。

## 多帳戶、多區域環境中的跨標準啟用
<a name="enable-controls-all-standards-central-configuration"></a>

若要跨多個 AWS 帳戶 和 啟用安全控制 AWS 區域，您必須登入委派的 Security Hub CSPM 管理員帳戶，並使用[中央組態](central-configuration-intro.md)。

在中央組態下，委派管理員可以建立 Security Hub CSPM 組態政策，以跨已啟用的標準啟用指定的控制項。然後，您可以將組態政策與特定帳戶和組織單位 (OUs或根建立關聯。組態政策會在您的主要區域 （也稱為彙總區域） 和所有連結區域生效。

組態政策提供自訂功能。例如，您可以選擇在一個 OU 中啟用所有控制項，也可以選擇在另一個 OU 中僅啟用 Amazon Elastic Compute Cloud (EC2) 控制項。精細程度取決於組織中安全涵蓋範圍的預期目標。如需建立啟用跨標準指定控制項之組態政策的說明，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

**注意**  
委派管理員可以建立組態政策，以管理[服務受管標準以外的所有標準中的控制項： AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)此標準的控制項應在 AWS Control Tower 服務中設定。

如果您希望某些帳戶設定自己的控制項，而不是委派管理員，委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定控制項。

## 單一帳戶和區域中的跨標準啟用
<a name="enable-controls-all-standards"></a>

如果您不使用中央組態或 是自我管理帳戶，則無法使用組態政策在多個帳戶和區域中集中啟用控制項。不過，您可以使用下列步驟，在單一帳戶和區域中啟用控制項。

------
#### [ Security Hub CSPM console ]

**在一個帳戶和區域中啟用跨標準的控制**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 從導覽窗格中選擇**控制項**。

1. 選擇**已停用**索引標籤。

1. 選擇控制項旁的選項。

1. 選擇**啟用控制** （此選項不會針對已啟用的控制項顯示）。

1. 在您要啟用控制項的每個區域中重複此步驟。

------
#### [ Security Hub CSPM API ]

**在一個帳戶和區域中啟用跨標準的控制**

1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控制 ID。

   **請求範例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。

1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。如果您針對已啟用的控制項遵循這些步驟，API 會傳回 HTTP 狀態碼 200 回應。

   **請求範例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. 在您要啟用控制項的每個區域中重複此步驟。

------
#### [ AWS CLI ]

**在一個帳戶和區域中啟用跨標準的控制**

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控制 ID。

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs，請執行 `describe-standards`命令。

1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。如果您針對已啟用的控制項遵循這些步驟，命令會傳回 HTTP 狀態碼 200 回應。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. 在您要啟用控制項的每個區域中重複此步驟。

------

# 在特定標準中啟用控制項
<a name="controls-configure"></a>

當您在 AWS Security Hub CSPM 中啟用標準時，所有適用於它的控制項都會在該標準中自動啟用 （此服務的例外狀況是服務受管標準）。然後，您可以在標準中停用並重新啟用特定控制項。不過，我們建議您在所有啟用的標準中調整控制項的啟用狀態。如需跨所有標準啟用控制項的指示，請參閱 [啟用跨標準的控制](enable-controls-overview.md)。

標準的詳細資訊頁面包含標準適用的控制項清單，以及目前在該標準中啟用和停用哪些控制項的相關資訊。

在標準詳細資訊頁面上，您也可以在特定標準中啟用控制項。您必須在每個 AWS 帳戶 和 中分別啟用特定標準的控制項 AWS 區域。當您在特定標準中啟用控制項時，它只會影響目前的帳戶和區域。

若要在標準中啟用控制項，您必須先啟用至少一個控制項適用的標準。如需啟用標準的指示，請參閱 [啟用安全標準](enable-standards.md)。當您在一或多個標準中啟用控制項時，Security Hub CSPM 會開始為該控制項產生問題清單。Security Hub CSPM 在計算整體安全分數和標準安全分數時包含[控制狀態](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values)。即使您在多個標準中啟用控制，如果您開啟合併控制問題清單，則每個標準之間的安全檢查都會收到單一問題清單。如需了解更多資訊，請參閱[合併的控制調查結果](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)。

若要在標準中啟用控制項，該控制項必須在您目前的區域中可用。如需詳細資訊，請參閱[依區域控制可用性](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support)。

請依照下列步驟，*在特定*標準中啟用 Security Hub CSPM 控制項。您也可以使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) API 動作來啟用特定標準的控制項，以取代下列步驟。如需*在所有*標準中啟用控制項的指示，請參閱 [單一帳戶和區域中的跨標準啟用](enable-controls-overview.md#enable-controls-all-standards)。

------
#### [ Security Hub CSPM console ]

**在特定標準中啟用控制項**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 從導覽窗格中選擇**安全標準**。

1. 選擇 **檢視相關標準的結果**。

1. 選取控制項。

1. 選擇**啟用控制** （此選項不會針對已啟用的控制項顯示）。選擇**啟用**來確認。

------
#### [ Security Hub CSPM API ]

**在特定標準中啟用控制項**

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`，並提供標準 ARN，以取得特定標準的可用控制項清單。若要取得標準 ARN，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 會傳回標準無關的安全控制 IDs，而非標準特定的控制 IDs。

   **請求範例：**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`，並提供特定的控制項 ID，以傳回每個標準中控制項的目前啟用狀態。

   **請求範例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您要啟用控制項之標準 ARN。

1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。

   **請求範例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**在特定標準中啟用控制項**

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)`命令，並提供標準 ARN，以取得特定標準的可用控制項清單。若要取得標準 ARN，請執行 `describe-standards`。此命令會傳回標準無關的安全控制 IDs，而不是標準特定的控制 IDs。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)`命令，並提供特定的控制項 ID，以傳回每個標準中控制項的目前啟用狀態。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您要啟用控制項之標準 ARN。

1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# 在已啟用的標準中自動啟用新控制項
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM 會定期發行新的控制項，並將其新增至一或多個標準。您可以選擇是否要在已啟用的標準中自動啟用新控制項。

建議使用 Security Hub CSPM 中央組態來自動啟用新的安全控制。您可以建立組態政策，其中包含跨標準停用的控制項清單。預設會啟用所有其他控制項，包括新發行的控制項。或者，您可以建立政策，其中包含跨標準啟用的控制項清單。預設會停用所有其他控制項，包括新發行的控制項。如需詳細資訊，請參閱[了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。

當 Security Hub CSPM 新增至您尚未啟用的標準時，不會啟用新的控制項。

下列指示僅適用於您不使用中央組態的情況。

選擇您偏好的存取方法，並依照步驟在已啟用的標準中自動啟用新的控制項。

**注意**  
當您使用以下指示自動啟用新控制項時，您可以在 主控台中以程式設計方式在發行後立即與控制項互動。不過，自動啟用的控制項具有**停用**的暫時預設狀態。Security Hub CSPM 最多可能需要幾天的時間來處理控制項版本，並在您的帳戶中將控制項指定為**已啟用**。在處理期間，您可以手動啟用或停用控制項，無論是否已開啟自動控制啟用，Security Hub CSPM 都會維持該指定。

------
#### [ Security Hub CSPM console ]

**自動啟用新的控制項**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇**設定**，然後選擇**一般**索引標籤。

1. 在**控制項**下，選擇**編輯**。

1. 在**啟用的標準中開啟自動啟用新控制項**。

1. 選擇**儲存**。

------
#### [ Security Hub CSPM API ]

**自動啟用新的控制項**

1. 執行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)。

1. 若要自動啟用啟用標準的新控制項，請將 `AutoEnableControls`設定為 `true`。如果您不想自動啟用新的控制項，請將 `AutoEnableControls`設定為 false。

------
#### [ AWS CLI ]

**自動啟用新的控制項**

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) 命令。

1. 若要自動為已啟用的標準啟用新控制項，請指定 `--auto-enable-controls`。如果您不想自動啟用新的控制項，請指定 `--no-auto-enable-controls`。

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **範例命令**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

如果您不自動啟用新的控制項，則必須手動啟用它們。如需說明，請參閱[在 Security Hub CSPM 中啟用控制項](securityhub-standards-enable-disable-controls.md)。