在 Security Hub CSPM 中管理多個帳戶的建議

下一節摘要說明在 AWS Security Hub CSPM 中管理成員帳戶時應謹記的一些限制和建議。

成員帳戶的數目上限

如果您使用 整合 AWS Organizations，Security Hub CSPM 在每個 中每個委派管理員帳戶最多支援 10，000 個成員帳戶 AWS 區域。如果您手動啟用和管理 Security Hub CSPM，Security Hub CSPM 支援每個區域中每個管理員帳戶最多 1，000 個成員帳戶邀請。

建立管理員成員關係

注意

如果您使用 Security Hub CSPM 整合 AWS Organizations，且尚未手動邀請任何成員帳戶，則本節不適用於您。

帳戶不能同時是管理員帳戶和成員帳戶。

成員帳戶只能與一個管理員帳戶建立關聯。如果組織帳戶由 Security Hub CSPM 管理員帳戶啟用，則帳戶無法接受來自另一個帳戶的邀請。如果帳戶已接受邀請，則組織的 Security Hub CSPM 管理員帳戶無法啟用該帳戶。它也無法接收來自其他帳戶的邀請。

對於手動邀請程序，接受成員資格邀請是選用的。

透過 成為成員 AWS Organizations

如果您將 Security Hub CSPM 與 整合 AWS Organizations，則 Organizations 管理帳戶可以為 Security Hub CSPM 指定委派管理員 (DA) 帳戶。組織管理帳戶無法在 Organizations 中設定為 DA。雖然 Security Hub CSPM 允許這樣做，但我們建議 Organizations 管理帳戶不應是 DA。

建議您在所有區域中選擇相同的 DA 帳戶。如果您使用中央組態，則 Security Hub CSPM 會在您為組織設定 Security Hub CSPM 的所有區域中設定相同的 DA 帳戶。

我們也建議您跨 AWS 安全與合規服務選擇相同的 DA 帳戶，以協助您在單一面板中管理安全相關問題。

邀請的 成員資格

對於透過邀請建立的成員帳戶，管理員-成員帳戶關聯只會在傳送邀請的區域中建立。管理員帳戶必須在您要使用它的每個區域中啟用 Security Hub CSPM。管理員帳戶接著會邀請每個帳戶成為該區域中的成員帳戶。

注意

建議使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。

協調跨 服務的管理員帳戶

Security Hub CSPM 彙總各種 AWS 服務的問題清單，例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie。Security Hub CSPM 也允許使用者從 GuardDuty 調查結果進行樞紐分析，以在 Amazon Detective 中開始調查。

不過，您在這些其他服務中設定的管理員成員關係不會自動套用至 Security Hub CSPM。Security Hub CSPM 建議您使用與所有這些服務的管理員帳戶相同的帳戶。此管理員帳戶應該是負責安全工具的帳戶。相同的帳戶也應該是 的彙總工具帳戶 AWS Config。

例如，GuardDuty 管理員帳戶 A 的使用者可以在 GuardDuty 主控台上查看 GuardDuty 成員帳戶 B 和 C 的問題清單。如果帳戶 A 接著啟用 Security Hub CSPM，帳戶 A 的使用者不會在 Security Hub CSPM 中自動查看帳戶 B 和 C 的 GuardDuty 調查結果。這些帳戶也需要 Security Hub CSPM 管理員成員關係。

若要這樣做，請將帳戶 A 設為 Security Hub CSPM 管理員帳戶，並讓帳戶 B 和 C 成為 Security Hub CSPM 成員帳戶。