本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 組態原則的運作方式
委派的系統管理員帳戶可以建立組 AWS Security Hub 態原則,以設定組織中的 Security Hub、安全性標準和安全性控制。建立組態原則之後,委派的管理員可以將其與帳戶、組織單位 (OU) 或根建立關聯。委派的管理員也可以檢視、編輯或刪除組態原則。
政策考量
在 Security Hub 中建立組態原則之前,請考慮下列詳細資料。
配置策略必須關聯才能生效 — 建立配置策略之後,您可以將其與一個或多個帳戶、組織單位 (OU) 或根建立關聯。組態原則可透過直接應用程式或從父 OU 繼承,與帳戶或 OU 產生關聯。
一個帳號或 OU 只能與一個組態原則產生關聯 — 為了避免衝突的設定,一個帳號或 OU 只能在任何指定時間與一個組態原則產生關聯。或者,帳戶或 OU 也可以是自我管理的。
配置策略已完成 — 配置策略提供完整的設置規格。例如,子女帳戶無法接受某個策略中某些控制項的設定,以及另一個策略中其他控制項的設定。當您將策略與子帳戶相關聯時,請確保策略指定了您希望子帳戶使用的所有設定。
無法還原設定原則 — 在將組態原則與帳戶或 OU 產生關聯之後,就無法還原設定原則。例如,如果您將停用 CloudWatch 控制項的組態策略與特定帳號產生關聯,然後解除該策略的關聯,則該帳戶中的 CloudWatch 控制項會繼續停用。若要再次啟用 CloudWatch 控制項,您可以將帳戶與啟用控制項的新策略建立關聯。或者,您可以將帳戶變更為自我管理,並啟用帳戶中的每個 CloudWatch 控制項。
組態原則會在您的主區域和所有連結區域中生效 — 設定政策會影響主區域和所有連結區域中的所有關聯帳戶。您無法建立只在部分這些區域中生效的設定原則,而不會在其他區域中生效。這種情況的例外是涉及全局資源的控制項。
2019 年 3 月 20 日或之後 AWS 推出的區域稱為「選擇加入區域」。您必須為帳戶啟用此類區域,組態政策在該處生效之前。Organizations 管理帳戶可以為成員帳戶啟用選擇加入區域。如需啟用選擇加入區域的指示,請參閱《帳戶管理參考指南》中 AWS 區域 的「指定帳戶可以使用的AWS 帳戶」。
如果您的原則設定的控制項無法在主區域或一或多個連結的區域使用,Security Hub 會略過無法使用的區域中的控制項組態,但會在可用控制項的區域中套用設定。
組態政策是資源 — 組態政策具有 Amazon 資源名稱 (ARN) 和通用唯一識別碼 (UUID),做為資源。ARN 使用下列格式:
arn:自我管理的組態沒有 ARN 或 UUID。自我管理組態的識別碼為。partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUIDSELF_MANAGED_SECURITY_HUB
組態原則的類型
每個組態原則都會指定下列設定:
中央設定原則不包含 AWS Config 錄製程式設定。您必須分別啟用 AWS Config 並開啟必要資源的記錄,Security Hub 才能產生控制項發現項目。如需詳細資訊,請參閱 配置 AWS Config。
如果您使用中央組態,Security Hub 會自動停用與所有區域 (主區域除外) 中涉及全域資源的控制項。您選擇透過組態原則啟用的其他控制項在所有可用的區域中啟用這些控制項。若要將這些控制項的發現項目限制為只有一個「區域」,您可以更新記 AWS Config 錄器設定,並關閉所有區域中的全域資源記錄,但本地區域除外。當您使用中央設定時,您缺少在本地區域和任何連結區域中無法使用的控制項的涵蓋範圍。如需涉及全域資源的控制項清單,請參閱處理全球資源的控制。
建議的組態原則
第一次在 Security Hub 主控台中建立組態原則時,您可以選擇安全中心建議的原則。
建議的原則會啟用 Security Hub、 AWS 基礎安全性最佳作法 (FSBP) 標準,以及所有現有和新的 FSBP 控制項。接受參數的控制項使用預設值。建議的策略適用於 root (所有帳戶和 OU,新的和現有的)。建立組織的建議策略之後,您可以從委派的系統管理員帳戶修改它。例如,您可以啟用其他標準或控制項,或停用特定的 FSBP 控制項。如需修改組態原則的指示,請參閱更新 Security Hub 組態原則。
自訂組態原則
委派系統管理員最多可以建立 20 個自訂組態原則,而非建議的原則。您可以將單一自訂原則與整個組織產生關聯,或是使用不同帳戶和 OU 的不同自訂原則建立關聯。對於自訂組態原則,您可以指定所需的設定。例如,您可以建立自訂政策來啟用 FSBP、網際網路安全中心 (CIS) AWS 基準測試 v1.4.0,以及除 Amazon Redshift 控制項以外的所有標準控制項。您在自訂組態原則中使用的資料粒度等級取決於整個組織中預定的安全性涵蓋範圍。
注意
您無法將停用 Security Hub 的設定原則與委派的系統管理員帳戶建立關聯。這種策略可以與其他帳戶相關聯,但會略過與委派管理員的關聯。委派的管理員帳戶會保留其目前的組態。
建立自訂組態原則之後,您可以透過更新組態原則來反映建議的組態,以切換至建議的組態原則。不過,在建立第一個原則之後,您看不到在 Security Hub 主控台中建立建議的組態原則的選項。
通過應用和繼承來關聯政策
當您第一次選擇加入中央組態時,您的組織沒有關聯,且其行為方式與選擇加入之前的行為相同。然後委派的系統管理員可以在組態原則或自我管理行為與帳戶、OU 或根目錄之間建立關聯。可以通過應用程序或繼承來建立關聯。
從委派的系統管理員帳戶中,您可以直接將組態原則套用至帳戶、OU 或根目錄。或者,委派的系統管理員也可以將自我管理的指定直接套用至帳戶、OU 或根目錄。
如果沒有直接應用程式,帳戶或 OU 會繼承具有組態原則或自我管理行為的最接近父系的設定。如果最近的父項與組態原則相關聯,則子項會繼承該原則,且只能由主區域中的委派管理員進行設定。如果最接近的父系是自我管理的,則子系會繼承自我管理的行為,並且能夠在每個父項中指定自己的設定。 AWS 區域
應用程序優先於繼承。換句話說,繼承不會覆寫委派系統管理員直接套用至帳戶或 OU 的組態原則或自我管理指定。
如果您直接將組態策略套用至自我管理的帳戶,則該策略會覆寫自我管理的指定。帳戶會進行集中管理,並採用組態策略中反映的設定。
我們建議您直接將設定原則套用至根目錄。如果您將策略套用至根目錄,則加入組織的新帳號將自動繼承根策略,除非您將這些帳號與不同的策略產生關聯或將其指定為自我管理。
在指定時間,只能透過應用程式或繼承與帳戶或 OU 建立關聯一個組態原則。這是為了防止衝突的設定而設計。
下圖說明原則應用程式和繼承在中央組態中的運作方式。
在此範例中,以綠色反白顯示的節點具有已套用的組態原則。以藍色反白顯示的節點沒有套用的組態原則。以黃色反白顯示的節點已指定為自我管理。每個帳戶和 OU 都使用下列組態:
OU: 根 (綠色) — 此 OU 使用已套用至其的組態原則。
OU: Prod (藍色) — 此 OU 會繼承 OU: 根目錄的組態原則。
OU:應用程式 (綠色) — 此 OU 使用已套用的組態原則。
帳戶 1 (綠色) — 此帳戶使用已套用的組態策略。
帳戶 2 (藍色) — 此帳戶會繼承 OU: 應用程式的組態策略。
OU: dev (黃色) — 此 OU 是自我管理的。
帳戶 3 (綠色) — 此帳戶使用已套用的組態策略。
帳戶 4 (藍色) — 此帳戶會繼承 OU: dev 的自我管理行為。
OU:測試 (藍色) — 此帳戶會從 OU: root 繼承組態策略。
帳號 5 (藍色) — 此帳戶會從 OU: Root 繼承組態原則,因為其直接父系 OU: test 與組態策略沒有關聯。
測試組態原則
若要測試組態原則的效果,您可以將其與單一帳戶或 OU 產生關聯,然後再在整個組織中更廣泛地建立關聯。
若要測試組態原則
建立自訂設定原則,但不要將其套用至任何帳戶。確認 Security Hub 啟用、標準和控制項的指定設定正確無誤。
將設定原則套用至沒有任何子帳戶或 OU 的測試帳戶或 OU。
確認測試帳戶或 OU 在您的本地區域和所有連結的區域中以預期的方式使用組態原則。您也可以確認組織中的所有其他帳戶和 OU 都保持自我管理,並且可以在每個區域中變更自己的設定。
在單一帳戶或 OU 中測試組態原則之後,您可以將其與其他帳戶和 OU 建立關聯。如需有關策略建立與關聯的指示,請參閱建立和關聯安全性中樞組態原則。已套用帳戶的子系會繼承策略,除非它們是自我管理的,或是套用不同的設定原則。您也可以視需要編輯組態原則並建立其他組態原則。
