本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 更新組態政策 建立組態政策後,委派的 AWS Security Hub CSPM 管理員帳戶可以更新政策詳細資訊和政策關聯。更新政策詳細資訊時,與組態政策相關聯的帳戶會自動開始使用更新的政策。 如需中央組態優點及其運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。 委派管理員可以更新下列政策設定: + 啟用或停用 Security Hub CSPM。 + 啟用一或多個[安全標準](standards-reference.md)。 + 指出跨已啟用的標準啟用哪些[安全控制](securityhub-controls-reference.md)。您可以透過提供應啟用的特定控制項清單來執行此操作,Security Hub CSPM 會停用所有其他控制項,包括發行時的新控制項。或者,您可以提供應停用的特定控制項清單,而 Security Hub CSPM 會啟用所有其他控制項,包括發行時的新控制項。 + 或者,[自訂跨已啟用標準啟用之選取控制項的參數](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)。 選擇您偏好的方法,然後依照步驟更新組態政策。 **注意** 如果您使用中央組態,Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。在可用的所有區域中啟用組態政策時,您選擇啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域,您可以更新 AWS Config 記錄器設定,並關閉主要區域以外所有區域中的全域資源記錄。 如果主區域不支援涉及全域資源的已啟用控制項,Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態,您缺乏主區域或任何連結區域中無法使用之控制項的涵蓋範圍。 如需涉及全域資源的控制項清單,請參閱 [使用全域資源的控制項](controls-to-disable.md#controls-to-disable-global-resources)。 ------ #### [ Console ] **更新組態政策** 1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。 使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。 1. 在導覽窗格中,選擇**設定**和**組態**。 1. 選擇 **Policies (政策)** 標籤。 1. 選取您要編輯的組態政策,然後選擇**編輯**。如有需要,請編輯政策設定。如果您想要保持政策設定不變,請將本節保持原狀。 1. 選擇**下一步**。如有需要,請編輯政策關聯。如果您想要讓政策關聯保持不變,請將本節保持不變。更新時,您可以將政策與最多 15 個目標 (帳戶、OUs 或根帳戶) 建立關聯或取消關聯。 1. 選擇**下一步**。 1. 檢閱您的變更,然後選擇**儲存並套用**。在您的主要區域和連結區域中,此動作會覆寫與此組態政策相關聯之帳戶的現有組態設定。帳戶可以透過應用程式或從父節點繼承,與組態政策相關聯。 ------ #### [ API ] **更新組態政策** 1. 若要更新組態政策中的設定,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。 1. 提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。 1. 提供 下欄位的更新值`ConfigurationPolicy`。您也可以選擇性地提供更新的原因。 1. 若要為此組態政策新增關聯,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。若要移除一或多個目前的關聯,請從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API。 1. 針對 `ConfigurationPolicyIdentifier` 欄位,提供您要更新其關聯的組態政策 ARN 或 ID。 1. 針對 `Target` 欄位,提供您要關聯或取消關聯的帳戶、OUs 或根 ID。此動作會覆寫指定 OUs 或帳戶的先前政策關聯。 **注意** 當您叫用 `UpdateConfigurationPolicy` API 時,Security Hub CSPM 會為 `EnabledStandardIdentifiers`、`DisabledSecurityControlIdentifiers`、 `EnabledSecurityControlIdentifiers`和 `SecurityControlCustomParameters` 欄位執行完整清單取代。每次叫用此 API 時,請提供您要啟用的完整標準清單,以及您要啟用或停用和自訂參數的完整控制項清單。 **更新組態政策的 API 請求範例:** ``` { "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Description": "Updated configuration policy", "UpdatedReason": "Disabling CloudWatch.1", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2", "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } } ``` ------ #### [ AWS CLI ] **更新組態政策** 1. 若要更新組態政策中的設定,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)命令。 1. 提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。 1. 提供 下欄位的更新值`configuration-policy`。您也可以選擇性地提供更新的原因。 1. 若要為此組態政策新增關聯,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。若要移除一或多個目前關聯,請從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。 1. 針對 `configuration-policy-identifier` 欄位,提供您要更新其關聯的組態政策 ARN 或 ID。 1. 針對 `target` 欄位,提供您要關聯或取消關聯的帳戶、OUs 或根 ID。此動作會覆寫指定 OUs 或帳戶的先前政策關聯。 **注意** 當您執行 `update-configuration-policy`命令時,Security Hub CSPM 會為 `EnabledStandardIdentifiers`、`DisabledSecurityControlIdentifiers`、 `EnabledSecurityControlIdentifiers`和 `SecurityControlCustomParameters` 欄位執行完整清單取代。每次執行此命令時,請提供您要啟用的完整標準清單,以及您要啟用或停用和自訂參數的完整控制項清單。 **更新組態政策的範例命令:** ``` aws securityhub update-configuration-policy \ --region us-east-1 \ --identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --description "Updated configuration policy" \ --updated-reason "Disabling CloudWatch.1" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' ``` ------ `StartConfigurationPolicyAssociation` API 會傳回名為 的欄位`AssociationStatus`。此欄位會告訴您政策關聯是待定還是處於成功或失敗狀態。狀態最多可能需要 24 小時才能從 變更為 `PENDING``SUCCESS`或 `FAILURE`。如需關聯狀態的詳細資訊,請參閱 [檢閱組態政策的關聯狀態](view-policy.md#configuration-association-status)。