我们使用以下配置在我们的组织中部署了 AWS SecurityHub:
resource "aws_securityhub_organization_admin_account" "infosec-security-hub" {
admin_account_id = "12345678"
provider = aws.org-root
}
resource "aws_securityhub_organization_configuration" "security-hub" {
auto_enable = true
provider = aws.infosec
depends_on = [aws_securityhub_organization_admin_account.infosec-security-hub]
}
这auto_enable组织上的财产确保新帐户自动注册到 SecurityHub 组织中。但是,我们希望消除一个负面影响 - 注册新账户时,默认启用两个安全标准(例如 CIS AWS Foundations Benchmark)。由于我们利用 AWS Config 的组织级规则(以跟踪适用于我们环境的安全控制的状态),因此这种默认行为会产生很多噪音。因此,我们需要运行一个脚本来定期禁用这些标准。换句话说,我们仅将 SecurityHub 用作整合来自各种安全服务(例如 Config、IAM Analyzer 和 Inspector)的调查结果的一种方式。我的问题:(鉴于我们在组织级别管理 SecurityHub),