在新组织账户中手动启用 Security Hub - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在新组织账户中手动启用 Security Hub

如果您在新组织帐户加入组织时没有自动启用 Security Hub,则可以将这些帐户添加为成员,并在他们加入组织后在其中手动启用 Security Hub。您还必须在中手动启用 Security Hub AWS 账户 您之前已与某个组织解除关联。

注意

如果您使用中心配置,则本节不适用于您。如果您使用集中配置,则可以创建配置策略,在指定的成员账户和组织单位中启用 Security Hub(OUs)。您还可以在这些帐户中启用特定的标准和控制,以及OUs.

如果账户已经是其他组织中的成员账户,则无法在账户中启用 Security Hub。

您也无法在当前已暂停的账户中启用 Security Hub。如果您尝试在已暂停的账户中启用服务,则账户状态会更改为账户已暂停

  • 如果该账户未启用 Security Hub,则会在该账户中启用 Security Hub。这些区域有: AWS 基础安全最佳实践 (FSBP) 标准和 CIS AWS 除非你关闭默认安全标准,否则账户中也会启用 Foundations Benchmark v1.2.0。

    组织管理账户除外。无法在组织管理账户中自动启用 Security Hub。您必须在组织管理账户中手动启用 Security Hub,然后才能将其作为成员账户添加。

  • 如果该账户已经启用了 Security Hub,则 Security Hub 不会对该账户进行任何其他更改。它仅启用成员资格。

为了让 Security Hub 生成控制结果,成员账户必须具有 AWS Config 已启用并配置为记录所需资源。有关更多信息,请参阅启用和配置 AWS Config.

选择您的首选方法,然后按照步骤将组织账户启用为 Security Hub 成员账户。

Security Hub console
要手动将组织账户启用为 Security Hub 成员

  1. 打开 AWS Security Hub 控制台位于https://console.aws.amazon.com/securityhub/

    使用委托管理员账户凭证登录。

  2. 在 Security Hub 导航窗格中的设置下,选择配置

  3. 账户列表中,选中要启用的每个组织账户。

  4. 选择操作,然后选择添加成员

Security Hub API

要手动将组织账户启用为 Security Hub 成员

CreateMembersAPI从委派的管理员账户中调用。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您调用 CreateMembers 启用组织账户时,无需发送邀请。

AWS CLI

要手动将组织账户启用为 Security Hub 成员

从委托管理员账户运行 create-members 命令。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您运行 create-members 启用组织账户时,无需发送邀请。

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

示例

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'