启用 Security Hub

注意

Security Hub 处于预览版，可能会发生变化。

你可以为任何人启用 Security Hub AWS 账户。本主题中的过程介绍如何通过 AWS 组织管理账户、委派管理员账户和独立账户启用 Security Hub。

注意

启用 Security Hub 后，系统会立即分析您环境中的风险敞口。但是，您最多可以等待 6 小时才能收到资源的曝光结果。

为组织启用 Security Hub

本节中的步骤介绍如何为 AWS 组织管理帐户启用 Security Hub。该过程假设您已为 Security Hub CSPM 设置了委托管理员，并包括一个可以在 Security Hub 中为组织设置委托管理员的步骤。有关在 Security Hub 中设置委派管理员的更多信息，请参阅在 S ecurity Hub 中设置委托管理员帐户。

如果您决定在启用期间为 Security Hub 设置委派管理员，则需要在AWS Organizations 控制台中创建资源策略，允许授权的管理员代表您的组织执行操作。您可以为委派的管理员账户使用以下示例资源策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::delegated-administrator-account-id:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:CreatePolicy",
        "organizations:DetachPolicy",
        "organizations:DeletePolicy",
        "organizations:UpdatePolicy",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType"
      ],
      "Resource": "*"
    }
  ]
}

如果您未设置委托管理员，则可以稍后设置委托管理员。有关更多信息，请参阅在 Sec urity Hub 中设置委托管理员帐户。本主题包括一个过程，该过程描述了如何从 Security Hub 控制台的 “常规” 页面为您的组织设置委派管理员。

以下过程介绍如何在 Security Hub 中为您的组织设置委派管理员帐户。

为 AWS 组织管理账户启用 Security Hub

1. 使用您的 AWS 组织管理 AWS 账户凭据登录您的账户。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

2. 在 Security Hub 主页上，选择 Sec urity Hub。选择开始。

3. （可选）对于委派管理员帐户，请根据提供的选项设置委派管理员。作为最佳实践，我们建议在安全服务中使用相同的委派管理员来实现一致的治理。有关设置委派管理员帐户的更多信息，请参阅在 Sec urity Hub 中设置委派管理员帐户。

4. （可选）要启用帐户，请选中复选框以为您的 AWS 帐户启用 Security Hub。

5. 选择 “复制并附加” 以打开组织设置。在 Organizations 控制台中，选择 “委派管理员” 下的 “委托” AWS Organizations，然后粘贴资源策略。选择创建策略。

6. 前往 Security Hub 控制台。选择 配置。

启用 Security Hub 后，将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色，并将服务关联的记录器添加到您的帐户中。服务关联记录器是一种由服务管理的 AWS Config 记录器，可以记录 AWS 服务特定资源的配置数据。借助服务关联的记录器，Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目。服务关联的记录器是根据 AWS 账户 和配置的 AWS 区域。

注意

如果您设置了委托管理员，则授权管理员可以创建和应用策略，允许其启用和禁用 Security Hub 的成员帐户。有关更多信息，请参阅以委托管理员身份创建用于管理成员账户的策略。

为委派的管理员启用 Security Hub

如果 AWS 组织管理账户为其组织设置了委托管理员，则委派的管理员必须为其账户启用 Security Hub。以下过程必须由授权管理员完成，但前提是授权管理员尚未为其账户启用 Security Hub。有关设置委派管理员的信息，请参阅在 Sec urity Hub 中设置委派管理员帐户。

为委派的管理员账户启用 Security Hub

1. 使用您的委派管理员凭据登录您的 AWS 账户，然后在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

2. 在 Security Hub 主页上，选择 Sec urity Hub，然后选择开始。

3. 请选择启用。

4. （可选）对于标签，确定是否在账户设置中添加键值对。

5. 选择转到 Security Hub。

启用 Security Hub 后，将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色，并将服务关联的记录器添加到您的帐户中。服务关联记录器是一种由服务管理的 AWS Config 记录器，可以记录 AWS 服务特定资源的配置数据。借助服务关联的记录器，Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目。服务关联的记录器是根据 AWS 账户 和配置的 AWS 区域。

注意

作为组织的委托管理员，您可以创建和应用允许您为 Security Hub 启用和禁用成员帐户的策略。有关更多信息，请参阅以委托管理员身份创建用于管理成员账户的策略。

为独立账户启用 Security Hub

以下过程介绍如何为独立账户启用 Security Hub。有两种类型的独立账户可以启用 Security Hub： AWS 账户 非组织 AWS 账户 内部账户和组织内部。 AWS 组织 AWS 账户 内部可以是授权管理员向组织附加 AWS Organizations 策略 AWS 账户 的地方 AWS 账户。有关更多信息，请参阅《AWS Organizations 用户指南》中的 Sec urity Hub 策略。

为独立账户启用 Security Hub

1. 使用您的凭据登录您的 AWS 帐户，然后在 https://console.aws.amazon.com/securityhub/v2/ home 上打开 Security Hub 控制台。

2. 在 Security Hub 主页上，选择 Sec urity Hub，然后选择开始。

3. 请选择启用。

启用 Security Hub 后，将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色，并将服务关联的记录器添加到您的帐户中。服务关联记录器是一种由服务管理的 AWS Config 记录器，可以记录 AWS 服务特定资源的配置数据。借助服务关联的记录器，Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目。服务关联的记录器是根据 AWS 账户 和配置的 AWS 区域。