本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
过渡到 “组织” 以管理 Security Hub 中的账户
在中手动管理帐户时 AWS Security Hub,您必须邀请潜在的成员帐户,并在每个帐户中分别配置每个成员帐户 AWS 区域。
通过集成 Security Hub 和 AWS Organizations,您无需发送邀请,并可以更好地控制组织中如何配置和自定义 Security Hub。
您可以使用组合方法,即使用 AWS Organizations 集成,也可以手动邀请组织外部的帐户。但我们建议仅使用 Organizations 集成。中心配置是一项功能,可帮助您跨多个账户和区域管理 Security Hub,仅当您与 Organizations 集成时才可用。
本节将介绍如何从基于邀请的手动账户管理转换到使用 AWS Organizations管理账户。
将 Security Hub 与 AWS Organizations
首先,您必须集成 Security Hub 和 AWS Organizations。
您可以完成以下步骤,来集成这些服务:
在 AWS Organizations中创建组织。有关说明,请参阅《AWS Organizations 用户指南》中的创建组织。
在组织管理账户中,指定一个 Security Hub 委托管理员账户。
注意
不能将组织管理账户设置为 DA 账户。
有关详细说明,请参阅 将 Security Hub 与 AWS Organizations。
完成上述步骤后,您就可以在中授予对 Security Hub 的可信访问权限 AWS Organizations。这还会为委派的管理员帐户启用当前 AWS 区域 的 Security Hub。
委托管理员可以在 Security Hub 中管理组织,主要方法是添加组织账户作为 Security Hub 成员账户。管理员还可以访问这些账户的某些 Security Hub 设置、数据和资源。
在转换到使用 Organizations 进行账户管理后,基于邀请的账户不会自动成为 Security Hub 成员。只有您添加到新组织的账户才能成为 Security Hub 成员。
中心配置与本地配置
激活集成后,您可以使用组织管理账户。有关信息,请参阅使用 Organizations 管理 Security Hub 管理员和成员账户。账户管理因组织的配置类型而异。
组织可能有两种配置类型:本地配置和集中配置。默认配置类型为本地配置。要查看当前配置类型,请在 Security Hub 控制台的导航窗格上选择设置,然后选择配置。您也可以调用DescribeOrganizationConfiguration
API来查看您的配置类型。
在本地配置下,委托管理员账户可以选择在新账户加入组织时自动启用 Security Hub 和默认安全标准。这些新账户设置在当前区域生效。其他 Security Hub 设置必须由每个区域的每个成员账户单独配置。
我们建议使用中心配置,而不是本地配置。在中央配置下,委派的管理员账户可以创建在多个区域生效的 Security Hub 配置策略,并在组织的各种账户和组织单位中指定 Security Hub 功能(OUs)。您可以将单个配置策略应用于整个组织,也可以将不同的配置策略应用于不同的账户和OUs。例如,您可以在生产账户中启用一组标准和控件,在测试账户中启用另一组标准和控件。DA 可以根据需要编辑配置策略。
有关中心配置工作原理的更多信息,请参阅了解 Security Hub 中的中央配置。
有关从本地配置切换到中心配置的说明,请参阅在 Security Hub 中启用集中配置。