服務管理標準: AWS Control Tower - AWS Security Hub
什麼是服務受管標準: AWS Control Tower?建立標準在 標準中啟用和停用控制項檢視啟用狀態和控制狀態刪除標準尋找 Service-Managed Standard 的欄位格式: AWS Control Tower適用於服務受管標準的控制項: AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

服務管理標準: AWS Control Tower

本節提供有關 Service-Managed Standard: 的資訊 AWS Control Tower。

什麼是服務受管標準: AWS Control Tower?

此標準專為 AWS Security Hub 和 的使用者而設計 AWS Control Tower。它可讓您設定 的主動控制, AWS Control Tower 以及 AWS Control Tower 服務中 Security Hub 的偵測控制。

主動控制有助於確保您的合規 AWS 帳戶 ,因為它們會標記可能導致政策違規或設定錯誤的動作。Detective 控制項會偵測您 內資源的不合規情況 (例如設定錯誤) AWS 帳戶。透過為您的 AWS 環境啟用主動和偵測性控制,您可以在開發的不同階段增強您的安全狀態。

提示

服務受管標準與 AWS Security Hub 管理的標準不同。例如,您必須在管理服務中建立和刪除服務受管標準。如需詳細資訊,請參閱Security Hub 中的服務管理標準

在 Security Hub 主控台和 中API,您可以檢視服務受管標準: AWS Control Tower 以及其他 Security Hub 標準。

建立標準

只有在您在 中建立標準時,才能使用此標準 AWS Control Tower。 AWS Control Tower 會在您第一次使用下列其中一種方法啟用適用的控制項時建立標準:

Security Hub 控制項在 AWS Control Tower 主控台中識別為 SH。ControlID (例如 SH.CodeBuild.1)。

當您建立標準時,如果您尚未啟用 Security Hub, AWS Control Tower 也會為您啟用 Security Hub。

如果您尚未設定 AWS Control Tower,則無法在 Security Hub 主控台、Security Hub 或 中檢視API或存取此標準 AWS CLI。即使您已設定 AWS Control Tower,也無法在 Security Hub 中檢視或存取此標準,但必須先 AWS Control Tower 使用上述其中一種方法在 中建立標準。

此標準僅在 AWS 區域AWS Control Tower 提供 的 中可用,包括 AWS GovCloud (US)。

在 標準中啟用和停用控制項

在 AWS Control Tower 主控台中建立標準之後,您可以在兩項服務中檢視標準及其可用的控制項。

第一次建立標準後,它沒有任何自動啟用的控制項。此外,當 Security Hub 新增控制項時,它們不會自動啟用服務受管標準: AWS Control Tower。您應該使用下列其中一種方法 AWS Control Tower 啟用和停用 中的標準控制項:

當您在 中變更控制項的啟用狀態時 AWS Control Tower,變更也會反映在 Security Hub 中。

不過,在 Security Hub 中停用已啟用的控制項 AWS Control Tower 會導致控制偏離。中的控制項狀態 AWS Control Tower 顯示為 Drifted。您可以在 AWS Control Tower 主控台中選取重新註冊 OU,或使用上述 AWS Control Tower 其中一種方法在 中停用並重新啟用控制項,以解決此偏離。

在 中完成啟用和停用動作 AWS Control Tower 可協助您避免控制偏離。

當您在 中啟用或停用控制項時 AWS Control Tower,動作會套用至帳戶和區域。如果您在 Security Hub 中啟用和停用控制項 (此標準不建議使用),則動作僅適用於目前的帳戶和區域。

注意

中央組態無法用於管理服務受管標準: AWS Control Tower。如果您使用中央組態,您只能使用 AWS Control Tower 服務來啟用和停用集中受管帳戶在此標準中的控制項。

檢視啟用狀態和控制狀態

您可以使用下列其中一種方法來檢視控制項的啟用狀態:

  • Security Hub 主控台、Security Hub API或 AWS CLI

  • AWS Control Tower 主控台

  • AWS Control Tower API 查看已啟用控制項的清單 (呼叫 ListEnabledControls API)

  • AWS CLI 查看已啟用控制項的清單 (執行 list-enabled-controls命令)

您在 Security Hub 中停用的控制項在 Security Hub Disabled 中 AWS Control Tower 具有 的啟用狀態,除非您在 Security Hub 中明確啟用該控制項。

Security Hub 會根據控制調查結果的工作流程狀態和合規狀態來計算控制狀態。如需啟用狀態和控制狀態的詳細資訊,請參閱 檢視控制項的詳細資訊

根據控制狀態,Security Hub 會計算 Service-Managed Standard: 的安全分數 AWS Control Tower。此分數僅適用於 Security Hub。此外,您只能在 Security Hub 中檢視控制項調查結果。標準安全分數和控制調查結果無法在 中使用 AWS Control Tower。

注意

當您啟用 Service-Managed Standard: 的控制項時 AWS Control Tower,Security Hub 最多可能需要 18 小時才能產生使用現有 AWS Config 服務連結規則之控制項的調查結果。如果您已在 Security Hub 中啟用其他標準和控制項,則可能有現有的服務連結規則。如需詳細資訊,請參閱執行安全檢查的排程

刪除標準

您可以使用下列其中一種方法 AWS Control Tower 停用所有適用的控制項,在 中刪除此標準:

停用所有控制項會刪除 中所有受管帳戶和受管區域的標準 AWS Control Tower。刪除 中的標準會從 Security Hub 主控台的標準頁面 AWS Control Tower 中移除,而且您再也無法使用 Security Hub API或 存取該標準 AWS CLI。

注意

在 Security Hub 中停用所有控制項與標準 之間的功能,並不會停用或刪除標準。

停用 Security Hub 服務會移除服務受管標準: AWS Control Tower 以及您啟用的任何其他標準。

尋找 Service-Managed Standard 的欄位格式: AWS Control Tower

當您建立 Service-Managed Standard: AWS Control Tower 並啟用控制項時,您會開始在 Security Hub 中接收控制項調查結果。Security Hub 會在 中報告控制調查結果AWS 安全調查結果格式 (ASFF)。這些是此標準 Amazon Resource Name (ARN) 和 ASFF的值GeneratorId

  • 標準 ARNarn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

  • GeneratorIdservice-managed-aws-control-tower/v/1.0.0/CodeBuild.1

如需 Service-Managed Standard: 的範例調查結果 AWS Control Tower,請參閱 安全中心中的範例控制項發現

適用於服務受管標準的控制項: AWS Control Tower

Service-Managed Standard: AWS Control Tower 支援屬於 AWS 基礎安全最佳實務 (FSBP) 標準一部分的控制項子集。從下表選擇控制項以檢視相關資訊,包括失敗調查結果的修復步驟。

下列清單顯示 Service-Managed Standard 的可用控制項: AWS Control Tower。控制項的區域限制符合 FSBP 標準中協同控制項的區域限制。此清單顯示標準獨立安全控制 IDs。在 AWS Control Tower 主控台中,控制項IDs會格式化為 SH。ControlID (例如 SH.CodeBuild.1)。在 Security Hub 中,如果您帳戶中的合併控制調查結果已關閉,則 ProductFields.ControlId 欄位會使用標準型控制 ID。標準型控制項 ID 已格式化為 CT。ControlId (例如 CT.CodeBuild.1)。

如需此標準的詳細資訊,請參閱 AWS Control Tower 使用者指南 中的 Security Hub 控制項