了解 Security Hub CSPM 中的控制參數

AWS Security Hub Cloud Security Posture Management (CSPM) 中的某些控制項使用會影響控制項評估方式的參數。一般而言，這類控制項會根據 Security Hub CSPM 定義的預設參數值進行評估。不過，對於這些控制項的子集，您可以修改參數值。當您修改控制項參數值時，Security Hub CSPM 會開始針對您指定的值評估控制項。如果控制項基礎的資源滿足自訂值，Security Hub CSPM 會產生PASSED問題清單。如果資源不符合自訂值，Security Hub CSPM 會產生FAILED問題清單。

透過自訂控制參數，您可以精簡 Security Hub CSPM 建議和監控的安全最佳實務，以符合您的業務需求和安全期望。您可以自訂一個或多個參數來取得符合您安全需求的調查結果，而不是隱藏控制項的問題清單。

以下是修改控制參數和設定自訂值的一些範例使用案例：

本節涵蓋修改控制參數時要考量的事項。

修改控制參數值的效果

當您變更參數值時，也會觸發新的安全檢查，根據新值評估控制項。然後，Security Hub CSPM 會根據新值產生新的控制調查結果。在控制問題清單的定期更新期間，Security Hub CSPM 也會使用新的參數值。如果您變更控制項的參數值，但尚未啟用包含控制項的任何標準，Security Hub CSPM 不會使用新值執行任何安全檢查。您必須為 Security Hub CSPM 啟用至少一個相關標準，才能根據新的參數值評估控制項。

控制項可以有一或多個可自訂的參數。每個控制參數的可能資料類型包括下列項目：

自訂參數值適用於已啟用的標準。您無法自訂目前區域中不支援之控制項的參數。如需個別控制項的區域限制清單，請參閱 Security Hub CSPM 控制項的區域限制。

對於某些控制項，可接受的參數值必須落在指定的範圍內才有效。在這些情況下，Security Hub CSPM 會提供可接受的範圍。

Security Hub CSPM 選擇預設參數值，偶爾可能會更新它們。自訂控制參數之後，其值會繼續是您為參數指定的值，除非您變更它。也就是說，即使 參數的自訂值符合 Security Hub CSPM 定義的目前預設值， 參數仍會停止追蹤預設 Security Hub CSPM 值的更新。以下是控制項 【ACM.1】 的範例 – 匯入和 ACM 發行的憑證應在指定的時段後續約：

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

在上述範例中， daysToExpiration 參數的自訂值為 30。此參數目前的預設值也是 30。如果 Security Hub CSPM 將預設值變更為 14，則此範例中的 參數不會追蹤該變更。它將保留 的值30。

如果您想要追蹤參數的預設 Security Hub CSPM 值的更新，請將 ValueType 欄位設定為 ，DEFAULT而不是 CUSTOM。如需詳細資訊，請參閱還原至單一帳戶和區域中的預設控制參數。

支援自訂參數的控制項

如需支援自訂參數的安全控制清單，請參閱 Security Hub CSPM 主控台的控制頁面或 Security Hub CSPM 的控制項參考。若要以程式設計方式擷取此清單，您可以使用 ListSecurityControlDefinitions操作。在回應中， CustomizableProperties 物件會指出哪些控制項支援可自訂的參數。