Security Hub 策略入门

在配置 Security Hub 策略之前，请确保您了解先决条件和实施要求。本主题将指导您完成在组织中设置和管理这些策略的过程。

开始前的准备工作

在实施 Security Hub 策略之前，请查看以下要求：

• 您的账户必须是 AWS Organizations 组织的一部分

• 您必须使用以下任一身份登录：

  • 组织的管理账户

  • 具有管理 Security Hub 策略权限的委托管理员账户

• 您必须在组织中为 Security Hub 启用可信访问

• 您必须在组织根目录中启用 Security Hub 策略类型

此外，请验证：

• 您要应用策略的区域支持 Security Hub

• 您的管理账户中已配置AWSServiceRoleForSecurityHubV2服务相关角色。要验证此角色是否存在，请运行aws iam get-role --role-name AWSServiceRoleForSecurityHubV2。如果您需要创建此角色，则可以从您的管理账户aws securityhub enable-security-hub-v2在任何区域运行，也可以通过运行直接创建aws iam create-service-linked-role --aws-service-name securityhubv2.amazonaws.com。

实施步骤

要有效地实施 Security Hub 策略，请按顺序执行以下步骤。每个步骤都可确保正确配置，并有助于防止在安装过程中出现常见问题。管理账户或授权管理员可以通过 AWS Organizations 控制台、 AWS 命令行界面 (AWS CLI) 或执行这些步骤 AWS SDKs。

1. 为 Security Hub 启用可信访问。

2. 为您的组织启用 Security Hub 策略。

3. 创建 Security Hub 策略。

4. 将 Security Hub 策略附加到贵组织的根目录、组织单位或账户。

5. 查看适用于账户的组合有效 Security Hub 策略。

在所有这些步骤中，您可以以 AWS Identity and Access Management (IAM) 用户身份登录、担任 IAM 角色或以根用户身份登录（不推荐）在组织的管理账户中登录。

其他信息

• 学习 Security Hub 策略的策略语法并查看策略示例