本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 跨标准禁用控件 我们建议禁用跨标准的 S AWS ecurity Hub CSPM 控件,以保持整个组织的一致性。如果仅在特定标准中禁用了某控件,而其他标准中仍启用该控件,您可以继续接收该控件的调查发现。 ## 多个账户和区域中的跨标准禁用 要在多个 AWS 账户 和之间禁用安全控制 AWS 区域,必须使用[集中配置](central-configuration-intro.md)。 使用中心配置时,委派管理员可以创建 Security Hub CSPM 配置策略,以禁用已启用标准的指定控件。然后,您可以将配置策略与特定账户或根账户相关联。 OUs配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。 配置策略可自定义。例如,您可以选择禁用一个 OU 中的所有 AWS CloudTrail 控件,也可以选择禁用另一个 OU 中的所有 IAM 控件。粒度级别取决于您的组织中安全覆盖范围的预期目标。有关创建用于禁用不同标准中指定控件的配置策略的说明,请参阅[创建和关联配置策略](create-associate-policy.md)。 **注意** 授权的管理员可以创建配置策略来管理除[服务管理标准之外的所有标准中的控件: AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。应在 AWS Control Tower 服务中配置该标准的控件。 如果您希望某些账户配置自己的控件而不是委派管理员来配置,则委派管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域中单独配置控件。 ## 单个账户和区域中的跨标准禁用 如果您未使用中心配置,或是自行管理账户,则无法使用配置策略在多个账户和区域中集中禁用控件。但是,您可以在单个账户和区域中禁用控件。 ------ #### [ Security Hub CSPM console ] **要在一个账户和区域中禁用不同标准中的控件** 1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 1. 从导航窗格中选择**控件**。 1. 选择控件旁边的选项。 1. 选择**禁用控件**。对于已禁用的控件,此选项不会出现。 1. 选择禁用控件的原因,然后选择**禁用**进行确认。 1. 在您要在其中禁用控件的每个区域中重复这些操作。 ------ #### [ Security Hub CSPM API ] **要在一个账户和区域中禁用不同标准中的控件** 1. 调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控件 ID。 **请求示例:** ``` { "SecurityControlId": "IAM.1" } ``` 1. 调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供启用该控件的任何标准的 ARN。要获得标准 ARNs,请运行[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。 1. 将 `AssociationStatus` 参数设置为等于 `DISABLED`。如果您对已禁用的控件执行以下步骤,API 将返回 HTTP 状态代码 200 响应。 **请求示例:** ``` { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}] } ``` 1. 在您要在其中禁用控件的每个区域中重复这些操作。 ------ #### [ AWS CLI ] **要在一个账户和区域中禁用不同标准中的控件** 1. 运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控件 ID。 ``` aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1 ``` 1. 运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供启用该控件的任何标准的 ARN。要获得标准 ARNs,请运行`describe-standards`命令。 1. 将 `AssociationStatus` 参数设置为等于 `DISABLED`。如果您对已禁用的控件执行以下步骤,该命令将返回 HTTP 状态代码 200 响应。 ``` aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]' ``` 1. 在您要在其中禁用控件的每个区域中重复这些操作。 ------