启用 Security Hub - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 Security Hub

注意

Security Hub 处于预览版,可能会发生变化。

你可以为任何人启用 Security Hub AWS 账户。本主题中的过程介绍如何通过 AWS 组织管理账户、委派管理员账户和独立账户启用 Security Hub。

为组织启用 Security Hub

本节包括三个步骤。在步骤 1 中, AWS 组织管理帐户启用 Security Hub,为其组织指定委派管理员,并创建委派管理员策略。在步骤 2 中,该组织的委派管理员启用 Security Hub。在步骤 3 中,组织的委派管理员创建了一个策略,该策略为组织中的所有成员账户启用 Security Hub。

第 1 步:在 AWS 组织管理账户中启用 Security Hub

此步骤包括两个过程。第一个过程介绍如果您启用了 Security Hub CSPM 并在 Security Hub CSPM 中指定了委托管理员,则如何启用 Security Hub。第二个过程介绍如果您尚未启用 Security Hub CSPM 并在 Security Hub CSPM 中指定委托管理员,则如何启用 Security Hub。在这两个过程中,如果跳过指定委派管理员的步骤,则必须跳过创建委派管理员策略的步骤。只有在指定了委派管理员之后,才能创建委派管理员策略。有关在 Security Hub 中指定委派管理员的信息,请参阅在 S ecurity Hub 中指定委派管理员帐户。有关在 Security Hub 中创建委派管理员策略的信息,请参阅在 S ecurity Hub 中创建委派管理员策略

Enable Security Hub with Security Hub CSPM

此过程假设 AWS 组织管理帐户之前启用了 Security Hub CSPM,并在 Security Hub CSPM 中指定了委托管理员。

启用 Security Hub
  1. 使用您的 AWS 组织管理 AWS 账户凭据登录您的账户。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

  2. 在 Security Hub 主页上,选择 Sec urity Hub,然后选择开始

  3. (可选)对于委派管理员帐户,请根据提供的选项选择管理员帐户。作为最佳实践,我们建议在安全服务中使用相同的委派管理员来实现一致的治理。

  4. (可选)要启用帐户,请选中复选框以为您的 AWS 帐户启用 Security Hub。

  5. (可选)对于委派管理员策略,请选择以下选项之一来添加策略声明。

    1. (选项 1)为我选择 “更新这个”。选中策略声明下方的复选框以确认 Security Hub 将自动创建向委派管理员授予所有必需权限的委托策略。

    2. (选项 2)选择 “我要手动附上”。选择 “复制并附加”。在 AWS Organizations 控制台的 “委派管理员” 下 AWS Organizations,选择 “委托”,然后将资源策略粘贴到委托策略编辑器中。选择创建策略。在 Security Hub 控制台中打开您所在的选项卡。

  6. 选择 配置

Enable Security Hub without Security Hub CSPM

此过程假设 AWS 组织管理账户之前未启用 Security Hub CSPM,并在 Security Hub CSPM 中指定了委托管理员。

启用 Security Hub
  1. 使用您的组织管理 AWS 帐户凭据登录您的帐户,然后在 https://console.aws.amazon.com/securityhub/v2/ home 上打开 Security Hub 控制台。

  2. 在 Security Hub 主页上,选择 Sec urity Hub,然后选择开始

  3. (可选)对于授权管理员,请选择所提供的帐户之一 AWS 账户 或选择一个帐户。如果选择 “选择帐户”,请在 Security Hub 中输入 AWS 账户 要指定为委托管理员的 12 位数字。

  4. (可选)要启用帐户,请选中相应复选框以为您 AWS 账户启用 Security Hub。

  5. (可选)对于委派管理员策略,请选择以下选项之一来添加策略声明:

    1. (选项 1)为我选择 “更新这个”。选中策略声明下方的复选框以确认 Security Hub 将自动创建向委派管理员授予所有必需权限的委托策略。

    2. (选项 2)选择 “我要手动附上”。选择 “复制并附加”。在 AWS Organizations 控制台的 “委派管理员” 下 AWS Organizations,选择 “委托”,然后将资源策略粘贴到委托策略编辑器中。选择创建策略。在 Security Hub 控制台中打开您所在的选项卡。

  6. 选择 配置

启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器,可以记录特定于服务的资源上的配置数据。借助服务关联的记录器,Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目和报告资源清单。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域有关更多信息,请参阅与服务相关的配置记录器的注意事项

第 2 步:在委派的管理员账户中启用 Security Hub

此步骤由委派的管理员完成。在 AWS 组织管理账户为其组织指定委派管理员后,委派的管理员必须启用 Security Hub。

在委派管理员账户中启用 Security Hub
  1. 使用您的委派管理员凭据登录您的 AWS 账户。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

  2. 在 Security Hub 主页上,选择 Sec urity Hub,然后选择开始

  3. 请选择启用

  4. (可选)对于标签,确定是否在账户设置中添加键值对。

  5. 选择转到 Security Hub

启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器,可以记录特定于服务的资源上的配置数据。借助服务关联的记录器,Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目和报告资源清单。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域有关更多信息,请参阅与服务相关的配置记录器的注意事项

第 3 步:创建在所有成员账户中启用 Security Hub 的策略

此步骤由委派的管理员完成。在组织的委托管理员启用 Security Hub 后,它必须创建一个策略,允许其定义启用和禁用组织中的哪些成员帐户。有关更多信息,请参阅以委托管理员身份创建用于管理成员账户的策略

在独立账户中启用 Security Hub

此过程介绍如何在独立账户中启用 Security Hub。独立账户是指 AWS 账户 尚未启用 AWS 组织的账户。

在独立账户中启用 Security Hub
  1. 使用您的独立 AWS 账户凭据登录您的账户。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

  2. 在 Security Hub 主页上,选择 Sec urity Hub,然后选择开始

  3. 请选择启用

启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器,可以记录特定于服务的资源上的配置数据。借助服务关联的记录器,Security Hub 支持以事件驱动的方法来获取风险分析覆盖范围所需的资源配置项目和报告资源清单。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域有关更多信息,请参阅与服务相关的配置记录器的注意事项