Rekomendasi untuk mengelola beberapa akun di Security Hub CSPM

Bagian berikut merangkum beberapa batasan dan rekomendasi yang perlu diingat saat mengelola akun anggota di AWS Security Hub CSPM.

Jumlah maksimum akun anggota

Jika Anda menggunakan integrasi dengan AWS Organizations, Security Hub CSPM mendukung hingga 10.000 akun anggota per akun administrator yang didelegasikan di masing-masing akun. Wilayah AWS Jika Anda mengaktifkan dan mengelola Security Hub CSPM secara manual, Security Hub CSPM mendukung hingga 1.000 undangan akun anggota per akun administrator di setiap Wilayah.

Membuat hubungan administrator-anggota

catatan

Jika Anda menggunakan integrasi CSPM Security Hub dengan AWS Organizations, dan belum mengundang akun anggota secara manual, bagian ini tidak berlaku untuk Anda.

Akun tidak dapat berupa akun administrator dan akun anggota secara bersamaan.

Akun anggota hanya dapat dikaitkan dengan satu akun administrator. Jika akun organisasi diaktifkan oleh akun administrator CSPM Security Hub, akun tersebut tidak dapat menerima undangan dari akun lain. Jika akun telah menerima undangan, akun tidak dapat diaktifkan oleh akun administrator CSPM Security Hub untuk organisasi. Itu juga tidak dapat menerima undangan dari akun lain.

Untuk proses undangan manual, menerima undangan keanggotaan adalah opsional.

Keanggotaan melalui AWS Organizations

Jika Anda mengintegrasikan CSPM Security Hub AWS Organizations, akun manajemen Organizations dapat menunjuk akun administrator yang didelegasikan (DA) untuk Security Hub CSPM. Akun manajemen organisasi tidak dapat ditetapkan sebagai DA di Organizations. Meskipun ini diizinkan di Security Hub CSPM, kami menyarankan agar akun manajemen Organizations tidak boleh menjadi DA.

Kami menyarankan Anda memilih akun DA yang sama di semua Wilayah. Jika Anda menggunakan konfigurasi pusat, maka Security Hub CSPM menetapkan akun DA yang sama di semua Wilayah tempat Anda mengonfigurasi CSPM Security Hub untuk organisasi Anda.

Kami juga menyarankan Anda memilih akun DA yang sama di seluruh layanan AWS keamanan dan kepatuhan untuk membantu Anda mengelola masalah terkait keamanan dalam satu panel kaca.

Keanggotaan berdasarkan undangan

Untuk akun anggota yang dibuat berdasarkan undangan, asosiasi akun administrator-anggota dibuat hanya di Wilayah tempat undangan dikirim. Akun administrator harus mengaktifkan CSPM Security Hub di setiap Wilayah tempat Anda ingin menggunakannya. Akun administrator kemudian mengundang setiap akun untuk menjadi akun anggota di Wilayah tersebut.

catatan

Sebaiknya gunakan AWS Organizations bukan undangan CSPM Security Hub untuk mengelola akun anggota Anda.

Mengkoordinasikan akun administrator di seluruh layanan

Security Hub CSPM mengumpulkan temuan dari berbagai AWS layanan, seperti Amazon, Amazon GuardDuty Inspector, dan Amazon Macie. Security Hub CSPM juga memungkinkan pengguna untuk beralih dari GuardDuty temuan untuk memulai penyelidikan di Amazon Detective.

Namun, hubungan administrator-anggota yang Anda atur di layanan lain ini tidak secara otomatis berlaku untuk CSPM Security Hub. Security Hub CSPM merekomendasikan agar Anda menggunakan akun yang sama dengan akun administrator untuk semua layanan ini. Akun administrator ini harus menjadi akun yang bertanggung jawab atas alat keamanan. Akun yang sama juga harus menjadi akun agregator untuk AWS Config.

Misalnya, pengguna dari akun GuardDuty administrator A dapat melihat temuan untuk akun GuardDuty anggota B dan C di GuardDuty konsol. Jika akun A kemudian mengaktifkan Security Hub CSPM, pengguna dari akun A tidak secara otomatis melihat GuardDuty temuan untuk akun B dan C di Security Hub CSPM. Hubungan administrator-anggota CSPM Security Hub juga diperlukan untuk akun ini.

Untuk melakukan ini, jadikan akun A sebagai akun administrator CSPM Security Hub dan aktifkan akun B dan C untuk menjadi akun anggota CSPM Security Hub.