本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您在 中啟用安全標準時 AWS Security Hub,所有適用於該標準的控制項都會在其中自動啟用。Security Hub 也會開始執行安全檢查,並針對適用於標準的控制項產生問題清單。
啟用任何安全標準之前,您應該 AWS Config 在 中開啟適用於標準之控制項使用的所有資源的資源記錄。否則,Security Hub 可能無法為適用於標準的控制項產生問題清單。如需詳細資訊,請參閱啟用和設定 之前的考量事項 AWS Config。
您可以選擇在每個標準中啟用和停用哪些控制項。停用控制項會停止產生控制項的問題清單,並在計算安全分數時忽略控制項。
當您啟用 Security Hub 時,Security Hub 會在您第一次造訪 Security Hub 主控台的摘要頁面或安全標準頁面後 30 分鐘內計算標準的初始安全分數。在中國區域和 中,首次產生安全分數最多可能需要 24 小時 AWS GovCloud (US) Region。只會針對您造訪這些頁面時啟用的標準產生分數。此外,必須設定 AWS Config 資源記錄,才能顯示分數。第一次產生分數後,Security Hub 會每 24 小時更新一次安全分數。Security Hub 會顯示時間戳記,指出上次更新安全分數的時間。若要檢視目前在帳戶中啟用的標準清單,請叫用 GetEnabledStandards API。
啟用標準的指示會根據您是否使用中央組態而有所不同。如果您整合 Security Hub 和 ,則可以使用中央組態 AWS Organizations。如果您想要在多帳戶、多區域環境中啟用標準,建議您使用中央組態。如果您不使用中央組態,則必須在每個帳戶和每個區域中個別啟用每個標準。
在多個帳戶和區域中啟用標準
若要跨多個帳戶啟用安全標準 AWS 區域,您必須使用中央組態。
當您使用中央組態時,委派管理員可以建立啟用一或多個標準的 Security Hub 組態政策。然後,您可以將組態政策與特定帳戶和組織單位 (OUs) 或根建立關聯。組態政策在您的主要區域 (也稱為彙總區域) 和所有連結區域生效。
組態政策提供自訂。例如,您可以選擇在一個 OU 中僅啟用 AWS 基礎安全最佳實務 (FSBP),也可以選擇在另一個 OU 中啟用 FSBP 和網際網路安全中心 (CIS) AWS Foundations Benchmark 1.4.0 版。如需建立啟用指定標準的組態政策的說明,請參閱 建立和關聯組態政策
如果您使用中央組態,Security Hub 不會自動在新的或現有的帳戶中啟用任何標準。相反地,建立組態政策時,委派管理員會定義要在不同帳戶中啟用哪些標準。Security Hub 提供建議組態政策,其中僅啟用 FSBP。如需詳細資訊,請參閱組態政策的類型。
注意
委派管理員可以建立組態政策,以啟用服務受管標準以外的任何標準: AWS Control Tower。您只能在 AWS Control Tower 服務中啟用此標準。如果您使用中央組態,則只能在 中為集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。
如果您希望某些帳戶設定自己的標準,而不是委派管理員,委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定標準。
在單一帳戶和區域中啟用標準
如果您不使用中央組態,或者您是自我管理帳戶,則無法使用組態政策在多個帳戶和區域中集中啟用標準。不過,您可以使用下列步驟,在單一帳戶和區域中啟用標準。
在一個帳戶和區域中啟用標準
開啟 AWS Security Hub 主控台,網址為 https://console.aws.amazon.com/securityhub/
://。 -
確認您在要啟用標準的區域中使用 Security Hub。
-
在 Security Hub 導覽窗格中,選擇安全標準。
-
針對您要啟用的標準,選擇 Enable (啟用)。這也會啟用該標準中的所有控制項。
-
在您要啟用標準的每個區域中重複此步驟。
