本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Security Hub 中啟用安全標準
當您在 中啟用安全標準時 AWS Security Hub,適用於該標準的所有控制項都會自動啟用。Security Hub 也會開始執行安全檢查,並為適用於 標準的控制項產生調查結果。
啟用任何安全標準之前,您應該 AWS Config 在 中開啟適用於該標準的所有資源的資源記錄。否則,Security Hub 可能無法為適用於標準的控制項產生調查結果。如需詳細資訊,請參閱設定 AWS Config 適用於 Security Hub。
您可以選擇在每個標準中啟用和停用哪些控制項。停用控制項會停止產生控制項的調查結果,並在計算安全分數時忽略控制項。
當您啟用 Security Hub 時,Security Hub 會在您第一次造訪 Security Hub 主控台上的摘要頁面或安全標準頁面後 30 分鐘內計算標準的初始安全分數。在中國區域和 中,首次產生安全分數最多可能需要 24 小時 AWS GovCloud (US) Region。只會針對您造訪這些頁面時啟用的標準產生分數。此外,必須設定 AWS Config 資源記錄,才能顯示分數。第一次產生分數後,Security Hub 會每 24 小時更新一次安全分數。Security Hub 會顯示時間戳記,指出上次更新安全分數的時間。若要檢視目前在帳戶中啟用的標準清單,請叫用 GetEnabledStandards API.
啟用標準的指示取決於您是否使用中央組態 。如果您整合 Security Hub 和 ,則可以使用中央組態 AWS Organizations。如果您想要在多帳戶、多區域環境中啟用標準,建議您使用中央組態。如果您不使用中央組態,則必須個別啟用每個帳戶和每個區域中的每個標準。
在多個帳戶和區域中啟用標準
若要跨多個帳戶和 啟用安全標準 AWS 區域,您必須使用中央組態 。
當您使用中央組態時,委派的管理員可以建立啟用一或多個標準的 Security Hub 組態政策。然後,您可以將組態政策與特定帳戶和組織單位 (OUs) 或根建立關聯。組態政策會在您的主區域 (也稱為彙總區域) 和所有連結區域生效。
組態政策提供自訂功能。例如,您可以選擇在一個 OU 中僅啟用 AWS 基礎安全最佳實務 (FSBP),並且可以選擇在另一個 OU 中啟用 FSBP和 Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0。如需建立啟用指定標準的組態政策的說明,請參閱 建立和關聯組態政策
如果您使用中央組態,Security Hub 不會自動在新的或現有的帳戶中啟用任何標準。相反地,建立組態政策時,委派的管理員會定義要在不同帳戶中啟用的標準。Security Hub FSBP 提供建議組態政策,其中僅啟用 。如需詳細資訊,請參閱組態原則的類型。
注意
委派的管理員可以建立組態政策,以啟用 Service-Managed Standard: 以外的任何標準 AWS Control Tower。您只能在 AWS Control Tower 服務中啟用此標準。如果您使用中央組態,則只能在 中為集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。
如果您想要某些帳戶設定自己的標準,而不是委派的管理員,委派的管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定標準。
在單一帳戶和區域中啟用標準
如果您不使用中央組態,或者您是自我管理帳戶,則無法使用組態政策在多個帳戶和區域中集中啟用標準。不過,您可以使用下列步驟,在單一帳戶和區域中啟用標準。
