Empfehlungen für Umgebungen mit mehreren Konten in Security Hub

Im folgenden Abschnitt werden einige Einschränkungen und Empfehlungen zusammengefasst, die Sie bei der Verwaltung von Mitgliedskonten in AWS Security Hub beachten sollten.

Maximale Anzahl von Mitgliedern pro Konto

Wenn Sie die Integration mit verwenden AWS Organizations, unterstützt Security Hub jeweils AWS-Region bis zu 10.000 Mitgliedskonten pro delegiertem Administratorkonto. Wenn Sie Security Hub manuell aktivieren und verwalten, unterstützt Security Hub bis zu 1.000 Mitgliedskonteneinladungen pro Administratorkonto in jeder Region.

Beziehungen zwischen Administrator und Mitglied erstellen

Anmerkung

Wenn Sie die Security Hub Hub-Integration mit AWS Organizations Mitgliedskonten verwenden und keine Mitgliedskonten manuell eingeladen haben, gilt dieser Abschnitt nicht für Sie.

Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Ein Mitgliedskonto kann nur einem Administratorkonto zugeordnet werden. Wenn ein Organisationskonto durch das Security Hub-Administratorkonto aktiviert wurde, kann das Konto keine Einladung von einem anderen Konto annehmen. Wenn ein Konto bereits eine Einladung akzeptiert hat, kann das Konto nicht durch das Security Hub-Administratorkonto für die Organisation aktiviert werden. Es kann auch keine Einladungen von anderen Konten empfangen.

Für den manuellen Einladungsprozess ist die Annahme einer Mitgliedschaftseinladung optional.

Mitgliedschaft durch AWS Organizations

Wenn Sie Security Hub mit integrieren AWS Organizations, kann das Verwaltungskonto der Organizations ein delegiertes Administratorkonto (DA) für Security Hub festlegen. Das Organisationsverwaltungskonto kann in Organizations nicht als DA festgelegt werden. Dies ist in Security Hub zwar zulässig, wir empfehlen jedoch, dass das Verwaltungskonto der Organizations nicht das DA sein sollte.

Wir empfehlen, dass Sie in allen Regionen dasselbe DA-Konto wählen. Wenn Sie die zentrale Konfiguration verwenden, richtet Security Hub in allen Regionen, in denen Sie Security Hub für Ihr Unternehmen konfigurieren, dasselbe DA-Konto ein.

Wir empfehlen außerdem, dass Sie für alle AWS Sicherheits- und Compliance-Dienste dasselbe DA-Konto wählen, damit Sie sicherheitsrelevante Probleme von einem zentralen Punkt aus verwalten können.

Mitgliedschaft auf Einladung

Bei Mitgliedskonten, die auf Einladung erstellt wurden, wird die Zuordnung zwischen Administrator und Mitgliedskonto nur in der Region erstellt, aus der die Einladung gesendet wurde. Das Administratorkonto muss Security Hub in jeder Region aktivieren, in der Sie es verwenden möchten. Das Administratorkonto lädt dann jedes Konto ein, Mitgliedskonto in dieser Region zu werden.

Anmerkung

Wir empfehlen, AWS Organizations anstelle von Security Hub Hub-Einladungen für die Verwaltung Ihrer Mitgliedskonten zu verwenden.

Koordination der Administratorkonten für alle Dienste

Security Hub fasst Ergebnisse verschiedener AWS Dienste wie Amazon GuardDuty, Amazon Inspector und Amazon Macie zusammen. Security Hub ermöglicht es Benutzern auch, von einem GuardDuty Ergebnis zu einer Untersuchung in Amazon Detective überzugehen.

Die Beziehungen zwischen Administrator und Mitglied, die Sie in diesen anderen Diensten einrichten, gelten jedoch nicht automatisch für Security Hub. Security Hub empfiehlt, dass Sie für all diese Dienste dasselbe Konto wie das Administratorkonto verwenden. Bei diesem Administratorkonto sollte es sich um ein Konto handeln, das für Sicherheitstools verantwortlich ist. Dasselbe Konto sollte auch das Aggregatorkonto für AWS Config sein.

Beispielsweise kann ein Benutzer des GuardDuty Administratorkontos A die Ergebnisse für die GuardDuty Mitgliedskonten B und C auf der GuardDuty Konsole sehen. Wenn Konto A dann Security Hub aktiviert, sehen Benutzer von Konto A nicht automatisch GuardDuty Ergebnisse für die Konten B und C in Security Hub. Für diese Konten ist auch eine Beziehung zwischen Security Hub-Administrator und Mitglied erforderlich.

Machen Sie dazu Konto A zum Security Hub-Administratorkonto und aktivieren Sie die Konten B und C als Security Hub Hub-Mitgliedskonten.