在 Security Hub 中管理管理员和成员账户

如果您的 AWS 环境有多个帐户，则可以将使用 Sec AWS urity Hub 的帐户视为成员帐户，并将它们与单个管理员帐户关联。管理员可以监控您的整体安全状况，对成员账户执行允许的操作。管理员还可以大规模执行各种账户管理任务，例如监控预计使用成本和评测账户配额。

您可以通过两种方式将成员帐户与管理员关联：将 Security Hub 与 Security Hub 集成， AWS Organizations 或者在 Security Hub 中手动发送和接受会员邀请。

使用管理账户 AWS Organizations

AWS Organizations 是一项全球账户管理服务，允许 AWS 管理员整合和管理多个账户 AWS 账户。它提供账户管理和整合账单功能，这些功能旨在满足预算、安全性和合规性需求。它不收取额外费用，并且可以与多个集成，包括Sec AWS urit AWS 服务 y Hub、Amazon Macie和亚马逊。 GuardDuty有关更多信息，请参阅 AWS Organizations 用户指南。

在集成 Security Hub 和时 AWS Organizations，Organizations 管理帐户会指定 Security Hub 授权的管理员。Security Hub 会在指定的委托管理员账户 AWS 区域 中自动启用。

指定委托管理员后，我们建议使用中心配置在 Security Hub 中管理账户。这是自定义 Security Hub 并确保为组织提供足够的安全覆盖的有效方法。

中心配置让委托管理员能够跨多个组织账户和区域自定义 Security Hub，而不必逐个区域配置。您可以为整个组织创建配置策略，也可以为不同的账户和创建不同的配置策略OUs。这些策略指定了在关联账户中启用还是禁用 Security Hub，以及启用哪些安全标准和控件。

委托管理员可将账户指定为集中管理或自行管理。集中管理的账户只能由委托管理员配置。自行管理账户可以自行指定设置。

如果您不选择使用中心配置，则委托管理员配置 Security Hub（称为本地配置）的能力将更为有限。在本地配置下，委托管理员可以在当前区域的新组织账户中自动启用 Security Hub 和默认安全标准。但现有账户不使用这些设置，因此账户加入组织后可能会出现配置偏差。

除了这些新账户设置外，本地配置是针对特定账户和特定区域的。每个组织账户必须在每个区域单独配置 Security Hub 服务、标准和控件。本地配置也不支持使用配置策略。

通过邀请手动管理账户

如果您拥有独立账户或未与 Organizations 集成，则必须在 Security Hub 中通过邀请手动管理成员账户。独立账户不能与 Organizations 集成，因此需要手动管理。如果您将来添加其他帐户，我们建议您与中央配置集成 AWS Organizations 并使用中央配置。

使用手动账户管理时，要将一个账户指定为 Security Hub 管理员。管理员账户可以查看成员账户中的数据，对成员账户的调查发现执行某些操作。Security Hub 管理员邀请其他账户成为成员账户，当潜在成员账户接受邀请后，管理员与成员关系即建立。

手动账户管理不支持使用配置策略。如果没有配置策略，管理员就无法通过为不同的账户配置变量设置来集中自定义 Security Hub。相反，每个组织账户必须在每个区域中单独为自己启用和配置 Security Hub。这可能会增加确保在使用 Security Hub 的所有账户和区域中实现充分安全覆盖的难度和时间。这还可能导致配置偏差，因为成员账户可以指定自己的设置，而无需管理员输入。

要通过邀请管理账户，请参阅在 Security Hub 中通过邀请管理账户。