本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在新的組織帳戶中自動啟用安全中心
當新帳戶加入您的組織時,它們會新增至 [帳戶] 頁面上的清單 AWS Security Hub 控制台。針對組織帳戶,類型為依組織。根據預設,新帳戶在加入組織時不會成為 Security Hub 成員。他們的狀態為非成員。委派的系統管理員帳戶可以自動將新帳戶新增為成員,並在這些帳戶加入組織時啟用 Security Hub。
注意
雖然很多 AWS 區域 默認情況下處於活動狀態 AWS 帳戶,您必須手動啟用特定區域。這些區域在本文件中稱為選擇加入區域。若要在選擇加入區域的新帳戶中自動啟用 Security Hub,該帳戶必須先啟用該區域。只有帳戶擁有者可以啟用選擇加入區域。如需選擇加入區域的詳細資訊,請參閱指定哪些區域 AWS 區域 您的帳戶可以使用。
根據您使用中央規劃 (建議) 還是本端規劃,此程序會有所不同。
自動啟用新組織帳號 (集中配置)
如果您使用中央組態,您可以建立已啟用 Security Hub 的組態原則,在新的和現有的組織帳戶中自動啟用 Security Hub。然後,您可以將策略與組織根目錄或特定組織單位產生關聯 (OUs)。
如果您將已啟用 Security Hub 的組態原則與特定 OU 產生關聯,則屬於該 OU 的所有帳戶 (現有和新增) 中都會自動啟用 Security Hub。不屬於 OU 的新帳戶是自我管理的,而且不會自動啟用 Security Hub。如果您將啟用 Security Hub 的組態原則與根目錄建立關聯,則會在加入組織的所有帳戶 (現有和新增) 中自動啟用 Security Hub。例外情況是,如果帳戶透過應用程式或繼承使用不同的策略,或是自我管理。
在您的組態原則中,您也可以定義應在 OU 中啟用哪些安全性標準和控制項。若要產生已啟用標準的控制項發現項目,OU 中的帳戶必須具有 AWS Config 啟用並配置為記錄所需的資源。如需關於 AWS Config 錄製,請參閱啟用和設定 AWS Config.
如需建立組態原則的指示,請參閱建立和關聯組態原則。
自動啟用新組織帳戶 (本機組態)
當您使用本機組態並開啟預設標準的自動啟用時,Security Hub 會將新的組織帳戶新增為成員,並在目前的區域中啟用 Security Hub。其他地區不受影響。此外,開啟自動啟用不會在現有組織帳戶中啟用 Security Hub,除非這些帳戶已新增為成員帳戶。
開啟自動啟用後,當新成員帳戶加入組織時,會為目前區域中的新成員帳戶啟用預設安全性標準。預設標準為 AWS 基礎安全性最佳做法 (FSBP) 和網際網路安全中心 () CIS AWS 基金會基準 V1.2.0。您無法變更預設標準。如果您想要在整個組織中啟用其他標準,或為特定帳戶啟用標準OUs,建議您使用中央組態。
若要針對預設標準 (以及其他已啟用的標準) 產生控制項搜尋結果,您組織中的科目必須具有 AWS Config 啟用並配置為記錄所需的資源。如需關於 AWS Config 錄製,請參閱啟用和設定 AWS Config.
選擇您偏好的方法,然後按照步驟在新的組織帳戶中自動啟用 Security Hub。這些指示只有在您使用本機組態時才適用。
