更新組態政策 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

更新組態政策

建立組態政策之後,委派的 AWS Security Hub 管理員帳戶可以更新政策詳細資訊和政策關聯。更新政策詳細資訊時,與組態政策相關聯的帳戶會自動開始使用更新的政策。

如需有關中央組態優點及其運作方式的背景資訊,請參閱 了解安全中心中的中央配置

委派的管理員可以更新下列政策設定:

  • 啟用或停用 Security Hub。

  • 啟用一或多個安全標準

  • 指出在啟用的標準之間啟用了哪些安全控制。您可以透過提供應啟用的特定控制項清單來執行此操作,Security Hub 會停用所有其他控制項,包括發行時的新控制項。或者,您可以提供應該停用的特定控制項清單,而 Security Hub 會啟用所有其他控制項,包括發行時的新控制項。

  • 或者,自訂跨已啟用標準之所選啟用控制項的參數

選擇您偏好的方法,然後依照步驟更新組態政策。

注意

如果您使用中央組態,Security Hub 會自動停用涉及除主要區域以外所有區域中全域資源的控制項。您選擇在可用的所有區域中啟用組態政策時啟用的其他控制項。若要將這些控制項的調查結果限制為僅一個區域,您可以更新 AWS Config 錄音程式設定,並關閉除主要區域以外的所有區域中的全域資源記錄。使用中央組態時,您缺少主區域或任何連結區域無法使用的控制項涵蓋範圍。如需涉及全域資源的控制項清單,請參閱 使用全域資源的控制項

Console
更新組態政策

  1. 在 開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

    使用主要區域中委派 Security Hub 管理員帳戶的憑證登入。

  2. 在導覽窗格中,選擇設定組態

  3. 選擇 Policies (政策) 標籤。

  4. 選取您要編輯的組態政策,然後選擇編輯 。如果需要,請編輯政策設定。如果您想要保持政策設定不變,請將本節保持原樣。

  5. 選擇下一個 。視需要,編輯政策關聯。如果您想要保持政策關聯不變,請將本節保持原樣。更新政策時,您可以將政策與最多 15 個目標 (帳戶OUs、 或根) 建立關聯或取消關聯。

  6. 選擇 Next (下一步)

  7. 檢閱您的變更,然後選擇儲存並套用 。在主區域和連結區域中,此動作會覆寫與此組態政策相關聯的帳戶的現有組態設定。帳戶可能會透過應用程式或從父節點繼承而與組態政策相關聯。

API
更新組態政策

  1. 若要更新組態政策中的設定,請叫用 UpdateConfigurationPolicy API 從主區域中的 Security Hub 委派管理員帳戶。

  2. 提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。

  3. 提供 下欄位的更新值ConfigurationPolicy。您也可以選擇性地提供更新的原因。

  4. 若要為此組態政策新增關聯,請叫用 StartConfigurationPolicyAssociation API 從主區域中的 Security Hub 委派管理員帳戶。若要移除一或多個目前的關聯,請叫用 StartConfigurationPolicyDisassociation API 從主區域中的 Security Hub 委派管理員帳戶。

  5. 針對 ConfigurationPolicyIdentifier 欄位,提供您要更新其關聯的組態政策的 ARN或 ID。

  6. 針對 Target 欄位,提供您要關聯或取消關聯的帳戶OUs、 或根 ID。此動作會覆寫指定 OUs或 帳戶的先前政策關聯。

注意

當您叫用 UpdateConfigurationPolicy 時API,Security Hub 會為 EnabledStandardIdentifiersDisabledSecurityControlIdentifiersEnabledSecurityControlIdentifiersSecurityControlCustomParameters 欄位執行完整清單取代。每次您調用此 時API,請提供您要啟用的完整標準清單,以及您要啟用或停用和自訂參數的完整控制項清單。

更新組態政策的API請求範例:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
更新組態政策

  1. 若要更新組態政策中的設定,請執行 update-configuration-policy 來自主區域中 Security Hub 委派管理員帳戶的 命令。

  2. 提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。

  3. 提供 下欄位的更新值configuration-policy。您也可以選擇性地提供更新的原因。

  4. 若要為此組態政策新增關聯,請執行 start-configuration-policy-association 來自主區域中 Security Hub 委派管理員帳戶的 命令。若要移除一或多個目前的關聯,請執行 start-configuration-policy-disassociation 來自主區域中 Security Hub 委派管理員帳戶的 命令。

  5. 針對 configuration-policy-identifier 欄位,提供您要更新其關聯的組態政策的 ARN或 ID。

  6. 針對 target 欄位,提供您要關聯或取消關聯的帳戶OUs、 或根 ID。此動作會覆寫指定 OUs或 帳戶的先前政策關聯。

注意

當您執行 update-configuration-policy 命令時,Security Hub 會為 EnabledStandardIdentifiersEnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiersSecurityControlCustomParameters 欄位執行完整清單取代。每次執行此命令時,請提供您要啟用的完整標準清單,以及您要啟用或停用和自訂參數的完整控制項清單。

更新組態政策的範例命令:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

StartConfigurationPolicyAssociation API 會傳回名為 的欄位AssociationStatus。此欄位會告訴您政策關聯是待處理,還是處於成功或失敗狀態。狀態從 變更為 PENDINGSUCCESS或 最多可能需要 24 小時FAILURE。如需關聯狀態的詳細資訊,請參閱 檢閱組態政策的關聯狀態