本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Security Hub 和 AWS Organizations
AWS Security Hub 为您提供安全状态的全面视图, AWS 并帮助您根据安全行业标准和最佳实践检查您的环境。
Security Hub 会从您的 AWS 账户、 AWS 服务 您使用的以及支持的第三方合作伙伴产品中收集安全数据。它可以帮助您分析安全趋势并确定最高优先级的安全问题。
当你同时使用 Security Hub 时,你可以自动为所有账户启用 Security Hub,包括在添加新账户时为其启用 Security Hub。 AWS Organizations 这扩大了 Security Hub 检查和调查结果的覆盖范围,从而可让您更全面且准确地了解您的整体安全状况。
有关 Security Hub 的更多信息,请参阅《AWS Security Hub 用户指南》。
使用以下信息来帮助您集 AWS Security Hub 成 AWS Organizations。
启用集成时,创建了一个服务相关角色
以下服务相关角色会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Security Hub 在您组织中的组织账户内执行支持的操作。
只有在禁用 Security Hub 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。
-
AWSServiceRoleForSecurityHub
服务相关角色使用的服务委托人
上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Security Hub 使用的服务相关角色为以下服务委托人授予访问权限:
-
securityhub.amazonaws.com
使用 Security Hub 启用信任访问权限
有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限。
当您为 Security Hub 指定委托管理员时,Security Hub 会自动为组织中的 Security Hub 启用信任访问权限。
使用 Security Hub 禁用可信访问
有关禁用可信访问所需的权限的信息,请参阅《AWS Organizations 用户指南》中的禁用可信访问所需的权限。
在禁用可信访问权限之前,可以选择与组织的委托管理员合作,禁用成员账户的 Security Hub,并清理这些账户的 Security Hub 资源。
您可以使用 AWS Organizations 控制台、Organizati API ons 或 AWS CLI。只有组织管理帐户的管理员才能禁用 Security Hub 的可信访问。
有关使用 Security Hub 禁用可信访问的说明,请参阅禁用 Security Hub 与的集成 AWS Organizations。
为 Security Hub 启用委托管理员
将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Security Hub 执行管理操作,否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 Security Hub 的管理分开。
想要了解有关信息,请参阅《AWS Security Hub 用户指南》中的指定 Security Hub 管理员账户。
指定一个成员账户作为 Security Hub 的委托管理员
-
使用您的 Organizations 管理账户登录。
-
执行下列操作之一:
-
如果您的管理账户未启用 Security Hub,则在 Security Hub 控制台上,选择 Go to Security Hub (转到 Security Hub)。
-
如果您的管理账户确实启用了 Security Hub,则在 Security Hub 控制台上,在 “常规” 下选择 “设置”。
-
-
在 Delegated Administrator (委托管理员) 中,输入账户 ID。
禁用 Security Hub 的委托管理员
只有组织管理帐户才能移除委派的 Security Hub 管理员帐户。
要更改委派的 Security Hub 管理员,必须先移除当前委派的管理员帐户,然后再指定一个新帐户。
如果您使用 Security Hub 控制台删除一个区域的委托管理员,该管理员将在所有区域中被自动删除。
Security Hub API 仅从发出API呼叫或命令的区域中移除委派的 Security Hub 管理员帐户。您必须在其他区域重复执行此操作。
如果您使用 Organiz API ations 删除委派的 Security Hub 管理员帐户,则该帐户将在所有区域中自动删除。
有关禁用委派的 Security Hub 管理员的说明,请参阅移除或更改委派的管理员。