过渡到 “组织” 以管理 Security Hub 中的账户

在中手动管理帐户时 AWS Security Hub，您必须邀请潜在的成员帐户，并在每个帐户中分别配置每个成员帐户 AWS 区域。

通过集成 Security Hub 和 AWS Organizations，您无需发送邀请，并可以更好地控制组织中如何配置和自定义 Security Hub。

您可以使用组合方法，即使用 AWS Organizations 集成，也可以手动邀请组织外部的帐户。但我们建议仅使用 Organizations 集成。中心配置是一项功能，可帮助您跨多个账户和区域管理 Security Hub，仅当您与 Organizations 集成时才可用。

本节将介绍如何从基于邀请的手动账户管理转换到使用 AWS Organizations管理账户。

将 Security Hub 与 AWS Organizations

首先，您必须集成 Security Hub 和 AWS Organizations。

您可以完成以下步骤，来集成这些服务：

• 在 AWS Organizations中创建组织。有关说明，请参阅《AWS Organizations 用户指南》中的创建组织。

• 在组织管理账户中，指定一个 Security Hub 委托管理员账户。

注意

不能将组织管理账户设置为 DA 账户。

有关详细说明，请参阅 将 Security Hub 与 AWS Organizations。

完成上述步骤后，您就可以在中授予对 Security Hub 的可信访问权限 AWS Organizations。这还会为委派的管理员帐户启用当前 AWS 区域 的 Security Hub。

委托管理员可以在 Security Hub 中管理组织，主要方法是添加组织账户作为 Security Hub 成员账户。管理员还可以访问这些账户的某些 Security Hub 设置、数据和资源。

在转换到使用 Organizations 进行账户管理后，基于邀请的账户不会自动成为 Security Hub 成员。只有您添加到新组织的账户才能成为 Security Hub 成员。

中心配置与本地配置

激活集成后，您可以使用组织管理账户。有关信息，请参阅使用 Organizations 管理 Security Hub 管理员和成员账户。账户管理因组织的配置类型而异。

组织可能有两种配置类型：本地配置和集中配置。默认配置类型为本地配置。要查看当前配置类型，请在 Security Hub 控制台的导航窗格上选择设置，然后选择配置。您也可以调用DescribeOrganizationConfigurationAPI来查看您的配置类型。

在本地配置下，委托管理员账户可以选择在新账户加入组织时自动启用 Security Hub 和默认安全标准。这些新账户设置在当前区域生效。其他 Security Hub 设置必须由每个区域的每个成员账户单独配置。

我们建议使用中心配置，而不是本地配置。在中央配置下，委派的管理员账户可以创建在多个区域生效的 Security Hub 配置策略，并在组织的各种账户和组织单位中指定 Security Hub 功能（OUs）。您可以将单个配置策略应用于整个组织，也可以将不同的配置策略应用于不同的账户和OUs。例如，您可以在生产账户中启用一组标准和控件，在测试账户中启用另一组标准和控件。DA 可以根据需要编辑配置策略。

有关中心配置工作原理的更多信息，请参阅了解 Security Hub 中的中央配置。

有关从本地配置切换到中心配置的说明，请参阅在 Security Hub 中启用集中配置。