Security Hub für eine Organisation aktivieren Security Hub für den delegierten Administrator aktivieren Security Hub für ein eigenständiges Konto aktivieren

Security Hub aktivieren

Anmerkung

Security Hub befindet sich in der Vorschauversion und kann sich ändern.

Sie können Security Hub für jeden aktivieren AWS-Konto. Die Verfahren in diesem Thema beschreiben, wie Security Hub von einem AWS Organisationsverwaltungskonto, einem delegierten Administratorkonto und einem eigenständigen Konto aus aktiviert wird.

Anmerkung

Nachdem Sie Security Hub aktiviert haben, werden die Risiken in Ihrer Umgebung sofort analysiert. Sie können jedoch bis zu 6 Stunden warten, bis Sie einen Expositionsnachweis für eine Ressource erhalten.

Security Hub für eine Organisation aktivieren

Das Verfahren in diesem Abschnitt beschreibt, wie Security Hub für das AWS Organisationsverwaltungskonto aktiviert wird. Das Verfahren geht davon aus, dass Sie einen delegierten Administrator für Security Hub CSPM eingerichtet haben, und beinhaltet einen Schritt, in dem Sie einen delegierten Administrator für Ihre Organisation in Security Hub einrichten können. Weitere Informationen zum Einrichten eines delegierten Administrators in Security Hub finden Sie unter Ein delegiertes Administratorkonto in Security Hub einrichten.

Wenn Sie während der Aktivierung einen delegierten Administrator für Security Hub einrichten möchten, müssen Sie in der AWS Organizations Konsole eine Ressourcenrichtlinie erstellen, die es dem delegierten Administrator ermöglicht, Aktionen im Namen Ihrer Organisation durchzuführen. Sie können die folgende Beispiel-Ressourcenrichtlinie für das delegierte Administratorkonto verwenden.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::delegated-administrator-account-id:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:CreatePolicy",
        "organizations:DetachPolicy",
        "organizations:DeletePolicy",
        "organizations:UpdatePolicy",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType"
      ],
      "Resource": "*"
    }
  ]
}

Wenn Sie keinen delegierten Administrator einrichten, können Sie später einen delegierten Administrator einrichten. Weitere Informationen finden Sie unter Ein delegiertes Administratorkonto in Security Hub einrichten. Das Thema umfasst ein Verfahren, in dem beschrieben wird, wie Sie auf der Seite Allgemein in der Security Hub Hub-Konsole einen delegierten Administrator für Ihre Organisation einrichten.

Das folgende Verfahren beschreibt, wie Sie ein delegiertes Administratorkonto für Ihre Organisation in Security Hub einrichten.

So aktivieren Sie Security Hub für ein AWS Organisationsverwaltungskonto

Melden Sie sich mit den Anmeldedaten Ihres AWS Organisationsverwaltungskontos bei Ihrem Konto an. AWS Öffnen Sie die Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/v2/home.
Wählen Sie auf der Security Hub-Startseite Security Hub aus. Wählen Sie Erste Schritte.
(Optional) Legen Sie für ein delegiertes Administratorkonto einen delegierten Administrator auf der Grundlage der bereitgestellten Optionen fest. Als bewährte Methode empfehlen wir, für alle Sicherheitsdienste denselben delegierten Administrator zu verwenden, um eine konsistente Verwaltung zu gewährleisten. Weitere Informationen zum Einrichten eines delegierten Administratorkontos finden Sie unter Ein delegiertes Administratorkonto in Security Hub einrichten.
(Optional) Wählen Sie für die Kontoaktivierung das Kästchen aus, um Security Hub für Ihr AWS Konto zu aktivieren.
Wählen Sie Kopieren und anhängen, um die Organisationseinstellungen zu öffnen. Wählen Sie in der Organisationskonsole unter Delegierter Administrator für AWS Organizations die Option Delegieren aus und fügen Sie die Ressourcenrichtlinie ein. Wählen Sie Richtlinie erstellen aus.
Gehen Sie zur Security Hub Hub-Konsole. Wählen Sie Konfigurieren aus.

Wenn Sie Security Hub aktivieren, wird in Ihrem Konto eine dienstverknüpfte Rolle namens AWSServiceRoleForSecurityHubV2 erstellt und Ihrem Konto wird ein dienstgebundener Rekorder hinzugefügt. Ein dienstgebundener Rekorder ist ein AWS Config Rekordertyp, der von einem AWS Dienst verwaltet wird und Konfigurationsdaten für dienstspezifische Ressourcen aufzeichnen kann. Mit einem serviceverknüpften Rekorder ermöglicht Security Hub einen ereignisgesteuerten Ansatz zum Abrufen von Ressourcenkonfigurationselementen, die für die Abdeckung der Risikoanalyse erforderlich sind. Ein Service Linked Recorder wird pro und konfiguriert. AWS-Konto AWS-Region

Anmerkung

Wenn Sie einen delegierten Administrator einrichten, kann der delegierte Administrator eine Richtlinie erstellen und anwenden, die es ihm ermöglicht, Mitgliedskonten für Security Hub zu aktivieren und zu deaktivieren. Weitere Informationen finden Sie unter Als delegierter Administrator eine Richtlinie zur Verwaltung von Mitgliedskonten erstellen.

Security Hub für den delegierten Administrator aktivieren

Wenn das AWS Organisationsverwaltungskonto einen delegierten Administrator für die Organisation festlegt, muss der delegierte Administrator Security Hub für sein Konto aktivieren. Das folgende Verfahren muss vom delegierten Administrator ausgeführt werden, jedoch nur, wenn der delegierte Administrator Security Hub für sein Konto nicht aktiviert hat. Informationen zum Einrichten eines delegierten Administrators finden Sie unter Ein delegiertes Administratorkonto in Security Hub einrichten.

So aktivieren Sie Security Hub für ein delegiertes Administratorkonto

Melden Sie sich mit Ihren delegierten Administratoranmeldedaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/v2/home.
Wählen Sie auf der Security Hub-Startseite Security Hub und dann Erste Schritte aus.
Wählen Sie Enable (Aktivieren) aus.
(Optional) Legen Sie für Tags fest, ob Sie der Kontoeinrichtung ein Schlüssel-Wert-Paar hinzufügen möchten.
Wählen Sie Gehe zu Security Hub.

Anmerkung

Als delegierter Administrator für eine Organisation können Sie eine Richtlinie erstellen und anwenden, mit der Sie Mitgliedskonten für Security Hub aktivieren und deaktivieren können. Weitere Informationen finden Sie unter Als delegierter Administrator eine Richtlinie zur Verwaltung von Mitgliedskonten erstellen.

Security Hub für ein eigenständiges Konto aktivieren

Das folgende Verfahren beschreibt, wie Security Hub für ein eigenständiges Konto aktiviert wird. Es gibt zwei Arten von eigenständigen Konten, mit denen Security Hub aktiviert werden kann: Konten außerhalb einer Organisation und Konten AWS-Konto innerhalb einer Organisation. AWS-Konto Ein AWS-Konto unternehmensinternes System kann ein AWS System sein AWS-Konto , an das ein delegierter Administrator eine AWS Organizations Richtlinie anhängt. AWS-Konto Weitere Informationen finden Sie unter Security Hub Hub-Richtlinien im AWS Organizations Benutzerhandbuch.

So aktivieren Sie Security Hub für ein eigenständiges Konto

Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/v2/home.
Wählen Sie auf der Security Hub-Startseite Security Hub und dann Erste Schritte aus.
Wählen Sie Enable (Aktivieren) aus.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erste Schritte

Einrichtung eines delegierten Administratorkontos in Security Hub