本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新組態原則
建立組態原則之後,委派的 AWS Security Hub 管理員帳戶可以更新原則詳細資料和原則關聯。更新策略詳細資料時,與組態策略相關聯的帳號會自動開始使用更新的策略。
如需中央組態優點及其運作方式的背景資訊,請參閱了解安全中心中的中央配置。
委派的系統管理員可以更新下列原則設定:
選擇您偏好的方法,然後按照步驟更新配置策略。
如果您使用中央組態,Security Hub 會自動停用與所有區域 (主區域除外) 中涉及全域資源的控制項。您選擇透過組態原則啟用的其他控制項在所有可用的區域中啟用這些控制項。若要將這些控制項的發現項目限制為只有一個「區域」,您可以更新記 AWS Config 錄器設定,並關閉所有區域中的全域資源記錄,但本地區域除外。當您使用中央設定時,您缺少在本地區域或任何連結區域中無法使用的控制項的涵蓋範圍。如需涉及全域資源的控制項清單,請參閱使用全域資源的控制項。
- Console
-
若要更新組態原則
-
在開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/。
使用安全中心委派系統管理員帳戶在主區域中的認證登入。
-
在功能窗格中,選擇 [設定和組態]。
-
選擇 Policies (政策) 標籤。
-
選取您要編輯的組態原則,然後選擇 [編輯]。如果需要,請編輯策略設定。如果您要保持原則設定不變,請保持此區段不變。
-
選擇「下一步」。如果需要,請編輯原則關聯。如果要保持原則關聯不變,請保持此段落不變。您可以在更新策略時將策略與最多 15 個目標 (帳號OUs或根目錄) 產生關聯或取消關聯。
-
選擇 Next (下一步)。
-
檢閱您的變更,然後選擇 [儲存並套用]。在您的首頁「區域」和「連結的區域」中,此動作會覆寫與此組態政策相關聯之帳戶的現有組態設定。帳戶可以透過應用程式與組態策略相關聯,或從父節點繼承。
- API
-
當您呼叫時 UpdateConfigurationPolicy
API,Security Hub 會執行EnabledStandardIdentifiers
、EnabledSecurityControlIdentifiers
、DisabledSecurityControlIdentifiers
和SecurityControlCustomParameters
欄位的完整清單取代。每次呼叫此選項時API,請提供您要啟用的完整標準清單,以及您要啟用或停用和自訂參數的控制項的完整清單。
更新組態原則的API要求範例:
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
- AWS CLI
-
當您執行命update-configuration-policy
令時,Security Hub 會執行EnabledStandardIdentifiers
、EnabledSecurityControlIdentifiers
、DisabledSecurityControlIdentifiers
和SecurityControlCustomParameters
欄位的完整清單取代。每次執行此命令時,請提供您要啟用的完整標準清單,以及您要啟用或停用和自訂參數的控制項完整清單。
更新配置策略的示例命令:
aws securityhub update-configuration-policy \
--region us-east-1
\
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
" \
--description "Updated configuration policy
" \
--updated-reason "Disabling CloudWatch.1
" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true
, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2
","CloudWatch.1
"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1
", "Parameters": {"daysToExpiration
": {"ValueType": "CUSTOM
", "Value": {"Integer
": 15
}}}}]}}}'
StartConfigurationPolicyAssociation
API返回一個名為的字段AssociationStatus
。此欄位會告訴您原則關聯是處於擱置中狀態,或處於成功或失敗的狀態。狀態可能需要 24 小時才會從SUCCESS
或PENDING
變更FAILURE
。如需關聯狀態的詳細資訊,請參閱檢閱組態原則的關聯狀態。