启用 Security Hub

您可以为任何 AWS 账户启用 Security Hub。本文档的这一部分描述了为AWS组织或独立账户启用 Security Hub 所需的所有步骤。

为AWS组织启用 Security Hub

本节包括三个步骤：

• 在步骤 1 中，AWS组织管理账户为其AWS组织指定委派管理员，创建委派管理员策略，并可选择为自己的账户启用 Security Hub。

• 在步骤 2 中，组织的委派管理员为自己的账户启用 Security Hub。

• 在步骤 3 中，组织的委派管理员为 Security Hub 和其他支持的安全服务配置组织中的所有成员帐户。

步骤 1：委派管理员账户，并可选择在AWS组织管理账户中启用 Security Hub

注意

只需在组织管理账户的一个区域中完成此步骤即可。

为 Security Hub 分配委派管理员帐户时，您可以为委托管理员选择的帐户将取决于您如何为 Security Hub CSPM 配置委派管理员。如果您已为 Security Hub CSPM 配置了委托管理员，并且该帐户不是组织的管理帐户，则该帐户将自动设置为 Security Hub 的委托管理员，并且无法选择其他帐户。如果将 Security Hub CSPM 的委托管理员帐户设置为组织管理帐户或根本未设置，则可以选择哪个帐户将成为您的 Security Hub 委托管理员帐户，但组织管理帐户除外。

有关在 Security Hub 中指定委派管理员的信息，请参阅在 Security Hub 中指定委派管理员。有关在 Security Hub 中创建委派管理员策略的信息，请参阅在 Security Hub 中创建委派管理员策略。

为 Security Hub 指定管理员

1. 使用您的AWS组织管理AWS账户凭据登录您的账户。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

2. 在 Security Hub 主页上，选择 Security Hub，然后选择开始使用。

3. 在 “授权管理员” 部分，根据提供的选项选择管理员帐户。最佳做法是，建议对所有安全服务使用相同的委派管理员以实现一致的管理。

4. 选中 “可信访问” 复选框。选择此选项可使您的委托管理员帐户能够在成员帐户上配置某些功能，例如 GuardDuty 恶意软件防护。如果您取消选中此选项，Security Hub 将无法代表您启用这些功能，您需要直接通过与该功能关联的服务启用这些功能。

5. （可选）要启用帐户，请选中复选框以为您的AWS帐户启用 Security Hub。

6. 对于委派管理员策略，请选择以下选项之一来添加策略声明。

   1. （选项 1）选择为我更新此项。选中策略语句下方的框，以确认 Security Hub 将自动创建向委派管理员授予所有必需权限的委派策略。

   2. （选项 2）选择我想手动附加此项。选择复制并附加。在AWS Organizations控制台的 “委派管理员” 下AWS Organizations，选择 “委托”，然后将资源策略粘贴到委托策略编辑器中。选择创建策略。打开您当前在 Security Hub 控制台中的选项卡。

7. 选择配置。

步骤 2：在委派管理员账户中启用 Security Hub

委派管理员账户完成此步骤。在AWS组织管理账户为其组织指定委派管理员后，被授权的管理员必须为自己的账户启用 Security Hub，然后才能为整个AWS组织启用 Security Hub。

在委派管理员账户中启用 Security Hub

1. 使用您的委派管理员凭据登录您的AWS账户。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

2. 从 Security Hub 主页中选择 “开始”。

3. 安全功能部分概述了自动启用并包含在 Security Hub 每资源基本价格中的功能

4. （可选）对于标签，确定是否在账户设置中添加键值对。

5. 选择 “启用 Security Hub” 以完成对 Security Hub 的启用。

6. （推荐）从弹出窗口中选择 “配置我的组织”，然后继续执行步骤 3。

启用 Security Hub 后，将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务关联记录器是一种AWS由服务管理的AWS Config记录器，可以记录特定于服务的资源上的配置数据。借助服务相关记录器，Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。与服务相关的记录器是根据AWS 账户和配置的。AWS 区域对于全局资源类型，系统会在主区域自动创建额外的服务关联记录器，以记录全局资源的配置更改，因为AWS Config仅记录其指定主区域中的全局资源类型。有关更多信息，请参阅与服务相关的配置记录器的注意事项和录制区域和全球资源。

步骤 3：创建一个策略以在所有成员账户中启用 Security Hub

在组织的委托管理员帐户中启用 Security Hub 后，您需要创建一个策略来定义在组织成员账户中启用哪些服务和功能。有关更多信息，请参阅使用策略类型启用配置。

在独立账户中启用 Security Hub

此过程介绍了如何在独立账户中启用 Security Hub。独立账户是指AWS 账户尚未启用AWS组织的账户。

在独立账户中启用 Security Hub

1. 使用您的AWS账户凭证登录您的账户。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

2. 在 Security Hub 主页上，选择 “开始”。

3. 在 “安全功能” 部分中，执行以下任一操作：

   1. （选项 1）选择 “启用所有功能”。这将启用 Security Hub 的所有基本功能、威胁分析和其他功能。

   2. （选项 2）选择 “自定义功能”。选择应开启的威胁分析和其他功能。您不能取消选择 Security Hub 基本计划功能中的任何功能。

4. 在 “区域” 部分，选择 “启用所有区域” 或 “启用特定区域”。如果您选择启用所有区域，则可以决定是否自动启用新区域。如果选择 “启用特定区域”，则必须选择要启用的区域。

5. （可选）对于资源标签，将标签添加为键值对，以帮助您轻松识别配置。

6. 选择启用 Security Hub。

启用 Security Hub 后，将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务关联记录器是一种AWS由服务管理的AWS Config记录器，可以记录特定于服务的资源上的配置数据。借助服务相关记录器，Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。与服务相关的记录器是根据AWS 账户和配置的。AWS 区域对于全局资源类型，系统会在主区域自动创建额外的服务关联记录器，以记录全局资源的配置更改，因为AWS Config仅记录其指定主区域中的全局资源类型。有关更多信息，请参阅与服务相关的配置记录器的注意事项和录制区域和全球资源。