本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Security Hub CSPM 中的控制參數
<a name="custom-control-parameters"></a>

 AWS Security Hub CSPM 中的某些控制項使用會影響控制項評估方式的參數。一般而言，這類控制項會根據 Security Hub CSPM 定義的預設參數值進行評估。不過，對於這些控制項的子集，您可以修改參數值。當您修改控制項參數值時，Security Hub CSPM 會開始針對您指定的值評估控制項。如果控制項基礎的資源滿足自訂值，Security Hub CSPM 會產生`PASSED`問題清單。如果資源不符合自訂值，Security Hub CSPM 會產生`FAILED`問題清單。

透過自訂控制參數，您可以精簡 Security Hub CSPM 建議和監控的安全最佳實務，以符合您的業務需求和安全期望。您可以自訂一個或多個參數來取得符合您安全需求的調查結果，而不是隱藏控制項的問題清單。

以下是修改控制參數和設定自訂值的一些範例使用案例：
+ **【CloudWatch.16] – CloudWatch 日誌群組應保留一段指定的時間**

  您可以指定保留期間。
+ **【IAM.7】 – IAM 使用者的密碼政策應具有強大的組態**

  您可以指定與密碼強度相關的參數。
+ **【EC2.18】 – 安全群組應僅允許授權連接埠不受限制的傳入流量**

  您可以指定授權哪些連接埠允許不受限制的傳入流量。
+ **【Lambda.5】 – VPC Lambda 函數應在多個可用區域中運作**

  您可以指定產生傳遞調查結果的可用區域數量下限。

本節涵蓋修改控制參數時要考量的事項。

## 修改控制參數值的效果
<a name="custom-control-parameters-overview"></a>

當您變更參數值時，也會觸發新的安全檢查，根據新值評估控制項。然後，Security Hub CSPM 會根據新值產生新的控制調查結果。在控制問題清單的定期更新期間，Security Hub CSPM 也會使用新的參數值。如果您變更控制項的參數值，但尚未啟用包含控制項的任何標準，Security Hub CSPM 不會使用新值執行任何安全檢查。您必須為 Security Hub CSPM 啟用至少一個相關標準，才能根據新的參數值評估控制項。

控制項可以有一或多個可自訂的參數。每個控制參數的可能資料類型包括下列項目：
+ Boolean
+ Double
+ 列舉
+ EnumList
+ Integer
+ IntegerList
+ String
+ StringList

自訂參數值適用於已啟用的標準。您無法自訂目前區域中不支援之控制項的參數。如需個別控制項的區域限制清單，請參閱 [Security Hub CSPM 控制項的區域限制](regions-controls.md)。

對於某些控制項，可接受的參數值必須落在指定的範圍內才有效。在這些情況下，Security Hub CSPM 會提供可接受的範圍。

Security Hub CSPM 選擇預設參數值，偶爾可能會更新它們。自訂控制參數之後，其值會繼續是您為參數指定的值，除非您變更它。也就是說，即使 參數的自訂值符合 Security Hub CSPM 定義的目前預設值， 參數仍會停止追蹤預設 Security Hub CSPM 值的更新。以下是控制項 **【ACM.1】 的範例 – 匯入和 ACM 發行的憑證應在指定的時段後續約**：

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

在上述範例中， `daysToExpiration` 參數的自訂值為 `30`。此參數目前的預設值也是 `30`。如果 Security Hub CSPM 將預設值變更為 `14`，則此範例中的 參數不會追蹤該變更。它將保留 的值`30`。

如果您想要追蹤參數的預設 Security Hub CSPM 值的更新，請將 `ValueType` 欄位設定為 ，`DEFAULT`而不是 `CUSTOM`。如需詳細資訊，請參閱[還原至單一帳戶和區域中的預設控制參數](revert-default-parameter-values.md#revert-default-parameter-values-local-config)。

## 支援自訂參數的控制項
<a name="controls-list-custom-parameters"></a>

如需支援自訂參數的安全控制清單，請參閱 Security Hub CSPM 主控台的**控制**頁面或 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。若要以程式設計方式擷取此清單，您可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)操作。在回應中， `CustomizableProperties` 物件會指出哪些控制項支援可自訂的參數。