本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用 Security Hub
注意
Security Hub 处于预览版,可能会发生变化。
你可以为任何人启用 Security Hub AWS 账户。本主题中的过程介绍如何通过 AWS 组织管理账户、委派管理员账户和独立账户启用 Security Hub。
为组织启用 Security Hub
本节包括三个步骤。在步骤 1 中, AWS 组织管理帐户启用 Security Hub,为其组织指定委派管理员,并创建委派管理员策略。在步骤 2 中,该组织的委派管理员启用 Security Hub。在步骤 3 中,组织的委派管理员创建了一个策略,该策略为组织中的所有成员账户启用 Security Hub。
第 1 步:在 AWS 组织管理账户中启用 Security Hub
此步骤包括两个过程。第一个过程介绍如果您启用了 Security Hub CSPM 并在 Security Hub CSPM 中指定了委托管理员,则如何启用 Security Hub。第二个过程介绍如果您尚未启用 Security Hub CSPM 并在 Security Hub CSPM 中指定委托管理员,则如何启用 Security Hub。在这两个过程中,如果跳过指定委派管理员的步骤,则必须跳过创建委派管理员策略的步骤。只有在指定了委派管理员之后,才能创建委派管理员策略。有关在 Security Hub 中指定委派管理员的信息,请参阅在 S ecurity Hub 中指定委派管理员帐户。有关在 Security Hub 中创建委派管理员策略的信息,请参阅在 S ecurity Hub 中创建委派管理员策略。
启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器,可以记录特定于服务的资源上的配置数据。借助服务关联的记录器,Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目和报告资源清单。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域有关更多信息,请参阅与服务相关的配置记录器的注意事项。
第 2 步:在委派的管理员账户中启用 Security Hub
此步骤由委派的管理员完成。在 AWS 组织管理账户为其组织指定委派管理员后,委派的管理员必须启用 Security Hub。
在委派管理员账户中启用 Security Hub
-
使用您的委派管理员凭据登录您的 AWS 账户。在 https://console.aws.amazon.com/securityhub/v2/
home 中打开 Security Hub 控制台。 -
在 Security Hub 主页上,选择 Sec urity Hub,然后选择开始。
-
请选择启用。
-
(可选)对于标签,确定是否在账户设置中添加键值对。
-
选择转到 Security Hub。
启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器,可以记录特定于服务的资源上的配置数据。借助服务关联的记录器,Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目和报告资源清单。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域有关更多信息,请参阅与服务相关的配置记录器的注意事项。
第 3 步:创建在所有成员账户中启用 Security Hub 的策略
此步骤由委派的管理员完成。在组织的委托管理员启用 Security Hub 后,它必须创建一个策略,允许其定义启用和禁用组织中的哪些成员帐户。有关更多信息,请参阅以委托管理员身份创建用于管理成员账户的策略。
在独立账户中启用 Security Hub
此过程介绍如何在独立账户中启用 Security Hub。独立账户是指 AWS 账户 尚未启用 AWS 组织的账户。
在独立账户中启用 Security Hub
-
使用您的独立 AWS 账户凭据登录您的账户。在 https://console.aws.amazon.com/securityhub/v2/
home 中打开 Security Hub 控制台。 -
在 Security Hub 主页上,选择 Sec urity Hub,然后选择开始。
-
请选择启用。
启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器,可以记录特定于服务的资源上的配置数据。借助服务关联的记录器,Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目和报告资源清单。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域有关更多信息,请参阅与服务相关的配置记录器的注意事项。