Empfehlungen für die Verwaltung mehrerer Konten in Security Hub CSPM

Im folgenden Abschnitt werden einige Einschränkungen und Empfehlungen zusammengefasst, die Sie bei der Verwaltung von Mitgliedskonten in AWS Security Hub CSPM beachten sollten.

Maximale Anzahl von Mitgliedern pro Konto

Wenn Sie die Integration mit verwenden AWS Organizations, unterstützt Security Hub CSPM jeweils bis zu 10.000 Mitgliedskonten pro delegiertem Administratorkonto. AWS-Region Wenn Sie Security Hub CSPM manuell aktivieren und verwalten, unterstützt Security Hub CSPM bis zu 1.000 Mitgliedskonteneinladungen pro Administratorkonto in jeder Region.

Beziehungen zwischen Administrator und Mitglied erstellen

Anmerkung

Wenn Sie die Security Hub CSPM-Integration mit AWS Organizations verwenden und keine Mitgliedskonten manuell eingeladen haben, gilt dieser Abschnitt nicht für Sie.

Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Ein Mitgliedskonto kann nur einem Administratorkonto zugeordnet werden. Wenn ein Organisationskonto durch das Security Hub CSPM-Administratorkonto aktiviert wird, kann das Konto keine Einladung von einem anderen Konto annehmen. Wenn ein Konto bereits eine Einladung akzeptiert hat, kann das Konto nicht durch das Security Hub CSPM-Administratorkonto für die Organisation aktiviert werden. Es kann auch keine Einladungen von anderen Konten empfangen.

Für den manuellen Einladungsprozess ist die Annahme einer Mitgliedschaftseinladung optional.

Mitgliedschaft durch AWS Organizations

Wenn Sie Security Hub CSPM mit integrieren AWS Organizations, kann das Verwaltungskonto der Organizations ein delegiertes Administratorkonto (DA) für Security Hub CSPM festlegen. Das Organisationsverwaltungskonto kann in Organizations nicht als DA festgelegt werden. Dies ist in Security Hub CSPM zwar zulässig, wir empfehlen jedoch, dass das Verwaltungskonto der Organizations nicht das DA sein sollte.

Wir empfehlen, dass Sie in allen Regionen dasselbe DA-Konto wählen. Wenn Sie die zentrale Konfiguration verwenden, richtet Security Hub CSPM in allen Regionen, in denen Sie Security Hub CSPM für Ihre Organisation konfigurieren, dasselbe DA-Konto ein.

Wir empfehlen außerdem, dass Sie für alle AWS Sicherheits- und Compliance-Dienste dasselbe DA-Konto wählen, damit Sie sicherheitsrelevante Probleme von einem zentralen Punkt aus verwalten können.

Mitgliedschaft auf Einladung

Bei Mitgliedskonten, die auf Einladung erstellt wurden, wird die Zuordnung zwischen Administrator und Mitgliedskonto nur in der Region erstellt, aus der die Einladung gesendet wurde. Das Administratorkonto muss Security Hub CSPM in jeder Region aktivieren, in der Sie es verwenden möchten. Das Administratorkonto lädt dann jedes Konto ein, ein Mitgliedskonto in dieser Region zu werden.

Anmerkung

Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten.

Koordination der Administratorkonten für alle Dienste

Security Hub CSPM fasst Ergebnisse verschiedener AWS Dienste wie Amazon GuardDuty, Amazon Inspector und Amazon Macie zusammen. Security Hub CSPM ermöglicht es Benutzern auch, von einem GuardDuty Ergebnis zu einer Untersuchung in Amazon Detective überzugehen.

Die Administrator-Mitglieds-Beziehungen, die Sie in diesen anderen Diensten einrichten, gelten jedoch nicht automatisch für Security Hub CSPM. Security Hub CSPM empfiehlt, dass Sie für all diese Dienste dasselbe Konto wie das Administratorkonto verwenden. Bei diesem Administratorkonto sollte es sich um ein Konto handeln, das für Sicherheitstools verantwortlich ist. Dasselbe Konto sollte auch das Aggregatorkonto für AWS Config sein.

Beispielsweise kann ein Benutzer des GuardDuty Administratorkontos A die Ergebnisse für die GuardDuty Mitgliedskonten B und C auf der GuardDuty Konsole sehen. Wenn Konto A dann Security Hub CSPM aktiviert, sehen Benutzer von Konto A nicht automatisch GuardDuty Ergebnisse für die Konten B und C in Security Hub CSPM. Für diese Konten ist auch eine Beziehung zwischen Security Hub CSPM-Administrator und Mitglied erforderlich.

Machen Sie dazu Konto A zum Security Hub CSPM-Administratorkonto und aktivieren Sie die Konten B und C als Security Hub CSPM-Mitgliedskonten.