确认必要的权限启用 Security Hub CSPM 与 Organizations 的集成手动启用 Security Hub CSPM 后续步骤：状况管理和集成

启用 Security Hub CSPM

启用 AWS Security Hub CSPM 的方法有两种，分别是与 AWS Organizations 集成或手动启用。

在多账户和多区域环境中，我们强烈建议与 Organizations 集成。如果您有独立账户，则需要手动设置 Security Hub CSPM。

确认必要的权限

在注册 Amazon Web Services (AWS) 之后，您必须启用 Security Hub CSPM 才能使用其功能和特性。要使用 Security Hub CSPM，您必须设置权限来允许访问 Security Hub CSPM 控制台和 API 操作。为此，您或您的 AWS 管理员可以使用 AWS Identity and Access Management（IAM）附加名为 AWSSecurityHubFullAccess 的 AWS 托管策略到您的 IAM 身份。

要通过 Organizations 集成启用和管理 Security Hub CSPM，还应附加名为 AWSSecurityHubOrganizationsAccess 的 AWS 托管策略。

有关更多信息，请参阅 AWS Security Hub 的托管式策略。

启用 Security Hub CSPM 与 Organizations 的集成

要开始将 Security Hub CSPM 与 AWS Organizations 搭配使用，组织的 AWS Organizations 管理账户需要指定一个账户作为该组织的 Security Hub CSPM 委派管理员账户。Security Hub CSPM 会在当前区域的委派管理员账户中自动启用。

选择您的首选方法，然后按照步骤指定委托管理员账户。

有关与 Organizations 集成的更多信息，请参阅将 Security Hub CSPM 与 AWS Organizations 集成。

中心配置

在集成 Security Hub CSPM 和 Organizations 时，您可以选择使用一项名为中心配置的功能来为组织设置和管理 Security Hub CSPM。我们强烈建议使用中心配置，因为其可让管理员为组织自定义安全范围。在适当情况下，委托管理员可以允许成员账户配置自己的安全范围设置。

中心配置可让委派管理员跨账户、OU 和 AWS 区域配置 Security Hub CSPM。委派管理员通过创建配置策略来配置 Security Hub CSPM。在配置策略中，您可以指定以下设置：

启用还是禁用 Security Hub CSPM
哪些安全标准已启用和禁用
哪些安全控件已启用和禁用
是否自定义所选控件的参数

作为委托管理员，您可以为整个组织创建单一的配置策略，也可以为不同的账户和 OU 创建不同的配置策略。例如，测试账户和生产账户可以使用不同的配置策略。

使用配置策略的成员账户和 OU 是集中管理的，只能由委托管理员进行配置。委托管理员可以将特定的成员账户和 OU 指定为自行管理，从而使成员能够逐个区域配置自己的设置。

如果您不使用中心配置，则必须主要在每个账户和区域中单独配置 Security Hub CSPM。这称为本地配置。在本地配置下，委派管理员可以在当前区域的新组织账户中自动启用 Security Hub CSPM 和一组有限的安全标准。本地配置不适用于现有组织账户或当前区域以外的其他区域。本地配置也不支持使用配置策略。

手动启用 Security Hub CSPM

如果您拥有独立账户或未与 AWS Organizations 集成，则必须手动启用 Security Hub CSPM。独立账户无法与 AWS Organizations 集成，必须使用手动启用。

手动启用 Security Hub CSPM 时，您可以指定一个 Security Hub CSPM 管理员账户并邀请其他账户成为成员账户。当潜在成员账户接受邀请时，管理员与成员的关系即已建立。

选择您喜欢的方法，然后按照以下步骤启用 Security Hub CSPM。从控制台中启用 Security Hub CSPM 时，您还可以选择启用支持的安全标准。

Security Hub CSPM console

打开 AWS Security Hub CSPM 控制台，网址为 https://console.aws.amazon.com/securityhub/。
首次打开 Security Hub CSPM 控制台时，选择前往 Security Hub CSPM。
在欢迎页面上，安全标准部分列出了 Security Hub CSPM 支持的安全标准。

选中标准的复选框即可将其启用，取消选中该复选框即可将其禁用。

您可以随时启用或禁用标准或其各个控制。有关管理安全标准的信息，请参阅了解 Security Hub CSPM 中的安全标准。
选择 Enable Security Hub (启用 Security Hub)。

Security Hub CSPM API

调用 EnableSecurityHub API。从 API 中启用 Security Hub CSPM 时，它会自动启用以下默认安全标准：

AWS 基础安全最佳实践
Center for Internet Security（CIS）AWS 基金会基准 v1.2.0

如果您不想启用这些标准，请将 EnableDefaultStandards 设置为 false。

您也可以使用 Tags 参数为 hub 资源分配标签值。

AWS CLI

运行 enable-security-hub 命令。要启用默认标准，请包括 --enable-default-standards。若不启用默认标准，请包括 --no-enable-default-standards。默认安全标准如下：

AWS 基础安全最佳实践
Center for Internet Security（CIS）AWS 基金会基准 v1.2.0


aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

示例：


aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

多账户启用脚本

注意

我们建议不要使用此脚本，而是使用中心配置在多个账户和区域中启用和配置 Security Hub CSPM。

GitHub 中的 Security Hub CSPM 多账户启用脚本允许您跨账户和区域启用 Security Hub CSPM。该脚本还自动执行向成员账户发送邀请并启用 AWS Config 的流程。

该脚本会自动为所有区域的所有资源（包括全局资源）启用 AWS Config 资源记录。它不会将全局资源的记录限制在单个区域。为了节省成本，我们建议仅在一个区域内记录全局资源。如果您使用中心配置或跨区域聚合，则这应是您的主区域。有关更多信息，请参阅在 AWS Config 中记录资源。

有一个相应的脚本可以跨账户和区域禁用 Security Hub CSPM。

后续步骤：状况管理和集成

启用 Security Hub CSPM 后，我们建议启用安全标准和控件以监控您的安全状况。启用控件后，Security Hub CSPM 会开始运行安全检查并生成控件调查发现来帮助您检测您的 AWS 环境中的配置错误。要接收控件调查发现，必须为 Security Hub CSPM 启用和配置 AWS Config。有关更多信息，请参阅为 Security Hub CSPM 启用和配置 AWS Config。

在启用 Security Hub CSPM 之后，您还可以利用 Security Hub 与其他 AWS 服务和第三方解决方案之间的集成在 Security Hub CSPM 中查看其调查发现。Security Hub CSPM 聚合了来自不同来源的调查发现，并以一致的格式提取它们。有关更多信息，请参阅了解 Security Hub CSPM 中的集成。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

概念

配置 AWS Config