本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 管理多個帳戶的 Security Hub CSPM AWS Organizations
<a name="securityhub-accounts-orgs"></a>

您可以將 AWS Security Hub CSPM 與 整合 AWS Organizations，然後管理組織中帳戶的 Security Hub CSPM。

若要將 Security Hub CSPM 與 整合 AWS Organizations，您可以在其中建立組織 AWS Organizations。Organizations 管理帳戶會將一個帳戶指定為組織的 Security Hub CSPM 委派管理員。委派管理員接著可以為組織中的其他帳戶啟用 Security Hub CSPM，將這些帳戶新增為 Security Hub CSPM 成員帳戶，並對成員帳戶採取允許的動作。Security Hub CSPM 委派管理員最多可為 10，000 個成員帳戶啟用和管理 Security Hub CSPM。

委派管理員的組態功能範圍取決於您是否使用[中央組態](central-configuration-intro.md)。啟用中央組態後，您不需要在每個成員帳戶和 中分別設定 Security Hub CSPM AWS 區域。委派管理員可以跨區域在指定的成員帳戶和組織單位 (OUs) 中強制執行特定 Security Hub CSPM 設定。

Security Hub CSPM 委派管理員帳戶可以對成員帳戶執行下列動作：
+ 如果使用中央組態，請透過建立 Security Hub CSPM 組態政策，集中設定成員帳戶和 OUs 的 Security Hub CSPM。組態政策可用來啟用和停用 Security Hub CSPM、啟用和停用標準，以及啟用和停用控制項。
+ 加入組織時，自動將*新*帳戶視為 Security Hub CSPM 成員帳戶。如果您使用中央組態，則與 OU 相關聯的組態政策會包含屬於 OU 一部分的現有和新帳戶。
+ 將*現有的*組織帳戶視為 Security Hub CSPM 成員帳戶。如果您使用中央組態，則會自動發生這種情況。
+ 取消關聯屬於組織的成員帳戶。如果您使用中央組態，只有在將成員帳戶指定為自我管理之後，才能取消其關聯。或者，您可以將停用 Security Hub CSPM 的組態政策與特定集中管理的成員帳戶建立關聯。

如果您不選擇加入中央組態，您的組織會使用稱為本機組態的預設組態類型。在本機組態下，委派管理員在成員帳戶中強制執行設定的能力更有限。如需詳細資訊，請參閱[了解 Security Hub CSPM 中的本機組態](local-configuration.md)。

如需委派管理員可在成員帳戶上執行之動作的完整清單，請參閱 [Security Hub CSPM 中管理員和成員帳戶允許的動作](securityhub-accounts-allowed-actions.md)。

本節中的主題說明如何將 Security Hub CSPM 與 整合， AWS Organizations 以及如何管理組織中帳戶的 Security Hub CSPM。在相關的情況下，每個區段都會識別集中組態使用者的管理優點和差異。

**Topics**
+ [將 Security Hub CSPM 與 整合 AWS Organizations](designate-orgs-admin-account.md)
+ [在新的組織帳戶中自動啟用 Security Hub CSPM](accounts-orgs-auto-enable.md)
+ [在新的組織帳戶中手動啟用 Security Hub CSPM](orgs-accounts-enable.md)
+ [取消 Security Hub CSPM 成員帳戶與組織的關聯](accounts-orgs-disassociate.md)

# 將 Security Hub CSPM 與 整合 AWS Organizations
<a name="designate-orgs-admin-account"></a>

若要整合 AWS Security Hub CSPM 和 AWS Organizations，您可以在 Organizations 中建立組織，並使用組織管理帳戶來指定委派的 Security Hub CSPM 管理員帳戶。這可讓 Security Hub CSPM 成為 Organizations 中信任的服務。它還在委派管理員帳戶的目前 AWS 區域 中啟用 Security Hub CSPM，並允許委派管理員為成員帳戶啟用 Security Hub CSPM、檢視成員帳戶中的資料，以及在成員帳戶上執行其他[允許的動作](securityhub-accounts-allowed-actions.md)。

如果您使用[中央組態](central-configuration-intro.md)，則委派管理員也可以建立 Security Hub CSPM 組態政策，指定如何在組織帳戶中設定 Security Hub CSPM 服務、標準和控制項。

## 建立組織
<a name="create-organization"></a>

組織是您建立來合併 的實體， AWS 帳戶 讓您可以以單一單位管理它們。

您可以使用 AWS Organizations 主控台或使用來自 AWS CLI 或其中一個 SDK APIs命令來建立組織。如需詳細說明，請參閱*AWS Organizations 《 使用者指南*》中的[建立組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)。

您可以使用 AWS Organizations 集中檢視和管理組織內的所有帳戶。組織具有一個管理帳戶，以及零個或多個成員帳戶。您可以在階層式樹狀結構中組織帳戶，其根位於根目錄頂端，而組織單位 (OUs) 巢狀在根目錄下。每個帳戶可以直接在根目錄下，或放置在階層中的其中一個 OUs 中。OU 是特定帳戶的容器。例如，您可以建立財務 OU，其中包含與財務操作相關的所有帳戶。

## 選擇委派 Security Hub CSPM 管理員的建議
<a name="designate-admin-recommendations"></a>

如果您擁有來自手動邀請程序的管理員帳戶，並正使用 轉換至帳戶管理 AWS Organizations，我們建議您將該帳戶指定為委派的 Security Hub CSPM 管理員。

雖然 Security Hub CSPM APIs 和主控台允許組織管理帳戶成為委派的 Security Hub CSPM 管理員，但我們建議您選擇兩個不同的帳戶。這是因為有權存取組織管理帳戶來管理帳單的使用者，可能與需要存取 Security Hub CSPM 以進行安全管理的使用者不同。

我們建議跨區域使用相同的委派管理員。如果您選擇加入中央組態，Security Hub CSPM 會自動在您的主要區域和任何連結區域中指定相同的委派管理員。

## 驗證設定委派管理員的許可
<a name="designate-admin-permissions"></a>

若要指定和移除委派的 Security Hub CSPM 管理員帳戶，組織管理帳戶必須具有 Security Hub CSPM 中 `EnableOrganizationAdminAccount`和 `DisableOrganizationAdminAccount`動作的許可。Organizations 管理帳戶也必須具有 Organizations 的管理許可。

若要授予所有必要的許可，請將下列 Security Hub CSPM 受管政策連接至組織管理帳戶的 IAM 主體：
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## 指定委派管理員
<a name="designate-admin-instructions"></a>

若要指定委派的 Security Hub CSPM 管理員帳戶，您可以使用 Security Hub CSPM 主控台、Security Hub CSPM API 或 AWS CLI。Security Hub CSPM AWS 區域 只會在目前的 中設定委派管理員，您必須在其他區域中重複 動作。如果您開始使用中央組態，Security Hub CSPM 會自動在主要區域和連結區域中設定相同的委派管理員。

組織管理帳戶不需要啟用 Security Hub CSPM，即可指定委派的 Security Hub CSPM 管理員帳戶。

我們建議組織管理帳戶不是委派的 Security Hub CSPM 管理員帳戶。不過，如果您選擇組織管理帳戶做為 Security Hub CSPM 委派管理員，則管理帳戶必須啟用 Security Hub CSPM。如果管理帳戶未啟用 Security Hub CSPM，您必須手動為其啟用 Security Hub CSPM。無法自動為組織管理帳戶啟用 Security Hub CSPM。

您必須使用下列其中一種方法來指定委派的 Security Hub CSPM 管理員。使用 Organizations APIs 指定委派的 Security Hub CSPM 管理員不會反映在 Security Hub CSPM 中。

選擇您偏好的方法，然後依照步驟指定委派的 Security Hub CSPM 管理員帳戶。

------
#### [ Security Hub CSPM console ]

**在加入時指定委派管理員**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 選擇**移至 Security Hub CSPM**。系統會提示您登入組織管理帳戶。

1. 在**指定委派管理員**頁面上，於**委派管理員帳戶**區段中，指定委派管理員帳戶。我們建議您選擇已為其他 AWS 安全與合規服務設定的相同委派管理員。

1. 選擇**設定委派管理員**。系統會提示您登入委派管理員帳戶 （如果您尚未登入），以繼續加入中央組態。如果您不想啟動中央組態，請選擇**取消**。您的委派管理員已設定，但您尚未使用中央組態。

**從**設定**頁面指定委派管理員**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在 Security Hub CSPM 導覽窗格中，選擇**設定**。然後選擇**一般**。

1. 如果目前已指派 Security Hub CSPM 管理員帳戶，則您必須先移除目前的帳戶，才能指定新帳戶。

   在**委派管理員**下，若要移除目前帳戶，請選擇**移除**。

1. 輸入您要指定為 **Security Hub CSPM **管理員帳戶的帳戶 ID。

   您必須在所有區域中指定相同的 Security Hub CSPM 管理員帳戶。如果您指定的帳戶與其他 區域中指定的帳戶不同，主控台會傳回錯誤。

1. 選擇**委派**。

------
#### [ Security Hub CSPM API, AWS CLI ]

從組織管理帳戶，使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)的操作。如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)命令。提供委派 Security Hub CSPM 管理員的 AWS 帳戶 ID。

下列範例會指定委派的 Security Hub CSPM 管理員。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# 移除或變更委派管理員
<a name="remove-admin-overview"></a>

只有組織管理帳戶可以移除委派的 Security Hub CSPM 管理員帳戶。

若要變更委派的 Security Hub CSPM 管理員，您必須先移除目前的委派管理員帳戶，然後指定新的管理員帳戶。

**警告**  
當您使用[中央組態](central-configuration-intro.md)時，無法使用 Security Hub CSPM 主控台或 Security Hub CSPM APIs 來變更或移除委派的管理員帳戶。如果組織管理帳戶使用 AWS Organizations 主控台或 AWS Organizations APIs來變更或移除委派的 Security Hub CSPM 管理員，Security Hub CSPM 會自動停止中央組態，並刪除您的組態政策和政策關聯。成員帳戶會保留在委派管理員變更或移除之前所擁有的組態。

如果您使用 Security Hub CSPM 主控台移除一個區域中的委派管理員，則會在所有區域中自動移除。

Security Hub CSPM API 只會從發出 API 呼叫或命令的區域移除委派的 Security Hub CSPM 管理員帳戶。您必須在其他區域中重複 動作。

如果您使用 Organizations API 移除委派的 Security Hub CSPM 管理員帳戶，則會在所有區域中自動移除。

## 移除委派管理員 (Organizations API AWS CLI)
<a name="remove-admin-orgs"></a>

您可以使用 Organizations 移除所有區域中的委派 Security Hub CSPM 管理員。

如果您使用中央組態來管理帳戶，移除委派的管理員帳戶會導致刪除您的組態政策和政策關聯。成員帳戶會保留他們在委派管理員變更或移除之前所擁有的組態。不過，這些帳戶無法再由已移除的委派管理員帳戶管理。它們成為自我管理帳戶，必須在每個區域中分別設定。

選擇您偏好的方法，並依照指示移除委派的 Security Hub CSPM 管理員帳戶 AWS Organizations。

------
#### [ Organizations API, AWS CLI ]

**移除委派的 Security Hub CSPM 管理員**

從組織管理帳戶，使用 Organizations API [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)的操作。如果您使用的是 AWS CLI，請執行 [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 命令。提供委派管理員的帳戶 ID，以及 Security Hub CSPM 的服務主體，也就是 `securityhub.amazonaws.com`。

下列範例會移除委派的 Security Hub CSPM 管理員。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## 移除委派管理員 (Security Hub CSPM 主控台）
<a name="remove-admin-console"></a>

您可以使用 Security Hub CSPM 主控台移除所有區域中的委派 Security Hub CSPM 管理員。

移除委派的 Security Hub CSPM 管理員帳戶時，成員帳戶會與移除的委派 Security Hub CSPM 管理員帳戶取消關聯。

成員帳戶中仍然啟用 Security Hub CSPM。它們會成為獨立帳戶，直到新的 Security Hub CSPM 管理員將其啟用為成員帳戶為止。

如果組織管理帳戶不是 Security Hub CSPM 中已啟用的帳戶，請使用**歡迎使用 Security Hub CSPM **頁面上的 選項。

**從**歡迎使用 Security Hub CSPM 頁面移除委派的 Security Hub CSPM** 管理員帳戶**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 選擇**移至 Security Hub**。

1. 在**委派管理員**下，選擇**移除**。

如果組織管理帳戶是 **Security Hub** 中已啟用的帳戶，請使用**設定**頁面**一般**索引標籤上的 選項。

**從**設定**頁面移除委派的 Security Hub CSPM 管理員帳戶**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在 Security Hub CSPM 導覽窗格中，選擇**設定**。然後選擇**一般**。

1. 在**委派管理員**下，選擇**移除**。

## 移除委派管理員 (Security Hub CSPM API AWS CLI)
<a name="remove-admin-api"></a>

您可以使用 Security Hub CSPM API 或 Security Hub CSPM 操作 AWS CLI 來移除委派的 Security Hub CSPM 管理員。當您使用其中一種方法移除委派管理員時，只會在發出 API 呼叫或命令的區域中將其移除。Security Hub CSPM 不會更新其他區域，也不會移除其中的委派管理員帳戶 AWS Organizations。

選擇您偏好的方法，然後依照下列步驟，使用 Security Hub CSPM 移除委派的 Security Hub CSPM 管理員帳戶。

------
#### [ Security Hub CSPM API, AWS CLI ]

**移除委派的 Security Hub CSPM 管理員**

從組織管理帳戶，使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)的操作。如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)命令。提供委派 Security Hub CSPM 管理員的帳戶 ID。

下列範例會移除委派的 Security Hub CSPM 管理員。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# 停用 Security Hub CSPM 與 整合 AWS Organizations
<a name="disable-orgs-integration"></a>

 AWS Organizations 組織與 AWS Security Hub CSPM 整合後， Organizations 管理帳戶隨後可以停用整合。身為 Organizations 管理帳戶的使用者，您可以停用 Security Hub CSPM 的受信任存取權來執行此操作 AWS Organizations。

當您停用 Security Hub CSPM 的受信任存取時，會發生下列情況：
+ Security Hub CSPM 失去其信任服務的狀態 AWS Organizations。
+ Security Hub CSPM 委派管理員帳戶會失去所有 Security Hub CSPM 成員帳戶對 Security Hub CSPM 設定、資料和資源的存取權 AWS 區域。
+ 如果您使用的是[中央組態](central-configuration-intro.md)，Security Hub CSPM 會自動停止將其用於您的組織。您的組態政策和政策關聯會遭到刪除。帳戶會保留在您停用受信任存取之前所擁有的組態。
+ 所有 Security Hub CSPM 成員帳戶都會成為獨立帳戶，並保留其目前的設定。如果已在一或多個區域中為成員帳戶啟用 Security Hub CSPM，則會繼續為這些區域中的帳戶啟用 Security Hub CSPM。啟用的標準和控制項也保持不變。您可以在每個帳戶和區域中分別變更這些設定。不過，帳戶不會再與任何區域中的委派管理員建立關聯。

如需停用受信任服務存取結果的詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[將 AWS Organizations 與其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 搭配使用。

若要停用受信任存取，您可以使用 AWS Organizations 主控台、Organizations API 或 AWS CLI。只有 Organizations 管理帳戶的使用者可以停用 Security Hub CSPM 的受信任服務存取。如需所需許可的詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[停用受信任存取所需的許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)。

在您停用受信任存取之前，建議您與組織的委派管理員合作，以停用成員帳戶中的 Security Hub CSPM，並清除這些帳戶中的 Security Hub CSPM 資源。

選擇您偏好的方法，並依照步驟停用 Security Hub CSPM 的受信任存取。

------
#### [ Organizations console ]

**停用 Security Hub CSPM 的受信任存取**

1.  AWS 管理主控台 使用 AWS Organizations 管理帳戶的登入資料登入 。

1. 在 https：//[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) 開啟 Organizations 主控台。

1. 在導覽窗格中，選擇**服務**。

1. 在**整合式服務**下，選擇 **AWS Security Hub CSPM**。

1. 選擇**停用受信任的存取**。

1. 確認您要停用信任的存取。

------
#### [ Organizations API ]

**停用 Security Hub CSPM 的受信任存取**

叫用 AWS Organizations API 的 [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) 操作。針對 `ServicePrincipal` 參數，指定 Security Hub CSPM 服務主體 (`securityhub.amazonaws.com`)。

------
#### [ AWS CLI ]

**停用 Security Hub CSPM 的受信任存取**

執行 AWS Organizations API 的 [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 命令。針對 `service-principal` 參數，指定 Security Hub CSPM 服務主體 (`securityhub.amazonaws.com`)。

**範例**：

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# 在新的組織帳戶中自動啟用 Security Hub CSPM
<a name="accounts-orgs-auto-enable"></a>

當新帳戶加入您的組織時，它們會新增至 AWS Security Hub CSPM 主控台**帳戶**頁面上的清單。針對組織帳戶，**類型**為**依組織**。根據預設，新帳戶在加入組織時不會成為 Security Hub CSPM 成員。他們的狀態為**非成員**。委派的管理員帳戶可以自動將新帳戶新增為成員，並在這些帳戶加入組織時啟用 Security Hub CSPM。

**注意**  
雖然您的 預設為 AWS 區域 啟用許多 AWS 帳戶，但您必須手動啟用特定區域。這些區域在本文件中稱為選擇加入區域。若要在選擇加入區域中的新帳戶中自動啟用 Security Hub CSPM，帳戶必須先啟用該區域。只有帳戶擁有者可以啟用選擇加入區域。如需選擇加入區域的詳細資訊，請參閱[指定 AWS 區域 您的帳戶可以使用哪些](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)區域。

此程序會根據您使用的是中央組態 （建議） 或本機組態而有所不同。

## 自動啟用新的組織帳戶 （中央組態）
<a name="central-configuration-auto-enable"></a>

如果您使用[中央組態](central-configuration-intro.md)，您可以透過建立啟用 Security Hub CSPM 的組態政策，在新的和現有的組織帳戶中自動啟用 Security Hub CSPM。然後，您可以將政策與組織根或特定組織單位 (OUs建立關聯。

如果您將啟用 Security Hub CSPM 的組態政策與特定 OU 建立關聯，Security Hub CSPM 會在屬於該 OU 的所有帳戶 （現有和新的） 中自動啟用。不屬於 OU 的新帳戶是自我管理的，不會自動啟用 Security Hub CSPM。如果您將啟用 Security Hub CSPM 的組態政策與根建立關聯，則會在加入組織的所有帳戶 （現有和新的） 中自動啟用 Security Hub CSPM。例外狀況是帳戶透過應用程式或繼承使用不同的政策，或自我管理。

在您的組態政策中，您也可以定義應該在 OU 中啟用哪些安全標準和控制項。若要產生已啟用標準的控制調查結果，OU 中的帳戶必須 AWS Config 已啟用並設定 以記錄必要的資源。如需 AWS Config 錄製的詳細資訊，請參閱[啟用和設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

如需建立組態政策的說明，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

## 自動啟用新的組織帳戶 （本機組態）
<a name="limited-configuration-auto-enable"></a>

當您使用本機組態並開啟預設標準的自動啟用時，Security Hub CSPM 會將*新的*組織帳戶新增為成員，並在目前區域中啟用 Security Hub CSPM。其他區域不受影響。此外，開啟自動啟用不會在*現有*組織帳戶中啟用 Security Hub CSPM，除非它們已新增為成員帳戶。

開啟自動啟用後，當新成員帳戶加入組織時，會為目前區域中的新成員帳戶啟用預設安全標準。預設標準是 AWS 基礎安全最佳實務 (FSBP) 和網際網路安全中心 (CIS) AWS Foundations Benchmark 1.2.0 版。您無法變更預設標準。如果您想要在整個組織中啟用其他標準，或啟用特定帳戶和 OUs 的標準，我們建議您使用中央組態。

若要產生預設標準 （和其他啟用的標準） 的控制調查結果，組織中的帳戶必須 AWS Config 啟用並設定 ，以記錄所需的資源。如需 AWS Config 錄製的詳細資訊，請參閱[啟用和設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

選擇您偏好的方法，並依照步驟在新的組織帳戶中自動啟用 Security Hub CSPM。這些指示僅適用於您使用本機組態的情況。

------
#### [ Security Hub CSPM console ]

**以 Security Hub CSPM 成員身分自動啟用新的組織帳戶**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   Sign 使用委派管理員帳戶的登入資料。

1. 在 Security Hub CSPM 導覽窗格中的設定下****，選擇**組態**。

1. 在**帳戶**區段中，開啟**自動啟用帳戶**。

------
#### [ Security Hub CSPM API ]

**以 Security Hub CSPM 成員身分自動啟用新的組織帳戶**

從委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。將 `AutoEnable` 欄位設定為 `true`，以在新的組織帳戶中自動啟用 Security Hub CSPM。

------
#### [ AWS CLI ]

**以 Security Hub CSPM 成員身分自動啟用新的組織帳戶**

從委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)命令。包含 `auto-enable` 參數，以在新的組織帳戶中自動啟用 Security Hub CSPM。

```
aws securityhub update-organization-configuration --auto-enable
```

------

# 在新的組織帳戶中手動啟用 Security Hub CSPM
<a name="orgs-accounts-enable"></a>

如果您在新組織帳戶中加入組織時未自動啟用 Security Hub CSPM，則可以將這些帳戶新增為成員，並在他們加入組織後手動啟用 Security Hub CSPM。您還必須在 AWS 帳戶 之前與組織取消關聯的 中手動啟用 Security Hub CSPM。

**注意**  
如果您使用[中央組態](central-configuration-intro.md)，則本節不適用於您。如果您使用中央組態，則可以建立在指定的成員帳戶和組織單位 (OUs組態政策。您也可以在這些帳戶和 OUs 中啟用特定標準和控制項。

如果 Security Hub CSPM 已經是不同組織中的成員帳戶，則您無法在帳戶中啟用該帳戶。

您也無法在目前暫停的帳戶中啟用 Security Hub CSPM。如果您嘗試在暫停的帳戶中啟用服務，帳戶狀態會變更為**帳戶暫停**。
+ 如果帳戶未啟用 Security Hub CSPM，則會在該帳戶中啟用 Security Hub CSPM。除非您關閉預設安全標準，否則帳戶中也會啟用 AWS 基礎安全最佳實務 (FSBP) 標準和 CIS AWS Foundations Benchmark 1.2.0 版。

  例外情況是 Organizations 管理帳戶。無法在 Organizations 管理帳戶中自動啟用 Security Hub CSPM。您必須先在 Organizations 管理帳戶中手動啟用 Security Hub CSPM，才能將其新增為成員帳戶。
+ 如果帳戶已啟用 Security Hub CSPM，Security Hub CSPM 不會對帳戶進行任何其他變更。它只會啟用 成員資格。

為了讓 Security Hub CSPM 產生控制調查結果，成員帳戶必須 AWS Config 啟用並設定 以記錄必要的資源。如需詳細資訊，請參閱[啟用並設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

選擇您偏好的方法，並依照步驟將組織帳戶啟用為 Security Hub CSPM 成員帳戶。

------
#### [ Security Hub CSPM console ]

**以 Security Hub CSPM 成員身分手動啟用組織帳戶**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   使用委派管理員帳戶的登入資料登入。

1. 在 Security Hub CSPM 導覽窗格中的設定下****，選擇**組態**。

1. 在**帳戶**清單中，選取您要啟用的每個組織帳戶。

1. 選擇**動作**，然後選擇**新增成員**。

------
#### [ Security Hub CSPM API ]

**以 Security Hub CSPM 成員身分手動啟用組織帳戶**

從委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API。針對每個要啟用的帳戶，提供帳戶 ID。

與手動邀請程序不同，當您叫用 `CreateMembers` 以啟用組織帳戶時，您不需要傳送邀請。

------
#### [ AWS CLI ]

**以 Security Hub CSPM 成員身分手動啟用組織帳戶**

從委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)命令。針對每個要啟用的帳戶，提供帳戶 ID。

與手動邀請程序不同，當您執行 `create-members` 以啟用組織帳戶時，您不需要傳送邀請。

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**範例**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# 取消 Security Hub CSPM 成員帳戶與組織的關聯
<a name="accounts-orgs-disassociate"></a>

若要停止接收和檢視 Security AWS Hub CSPM 成員帳戶的問題清單，您可以取消成員帳戶與組織的關聯。

**注意**  
如果您使用[中央組態](central-configuration-intro.md)，取消關聯的運作方式會有所不同。您可以建立組態政策，在一或多個集中管理的成員帳戶中停用 Security Hub CSPM。之後，這些帳戶仍然是組織的一部分，但不會產生 Security Hub CSPM 調查結果。如果您使用中央組態，但也有手動邀請的成員帳戶，您可以取消一個或多個手動邀請帳戶的關聯。

使用 管理的成員帳戶 AWS Organizations 無法取消其帳戶與管理員帳戶的關聯。只有管理員帳戶可以取消成員帳戶的關聯。

取消成員帳戶的關聯不會關閉帳戶。相反地，它會從組織中移除成員帳戶。取消關聯的成員帳戶會成為獨立 AWS 帳戶 帳戶，不再由 Security Hub CSPM 整合管理 AWS Organizations。

選擇您偏好的方法，並依照步驟取消成員帳戶與組織的關聯。

------
#### [ Security Hub CSPM console ]

**取消成員帳戶與組織的關聯**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   使用委派管理員帳戶的登入資料登入。

1. 在導覽窗格中的設定下****，選擇**組態**。

1. 在**帳戶**區段中，選取您要取消關聯的帳戶。如果您使用中央組態，則可以選取要與`Invitation accounts`標籤取消關聯的手動邀請帳戶。只有在您使用中央組態時，才會顯示此標籤。

1. 選擇**動作**，然後選擇**取消關聯帳戶**。

------
#### [ Security Hub CSPM API ]

**取消成員帳戶與組織的關聯**

從委派的管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API。您必須提供要取消關聯的成員帳戶的 AWS 帳戶 IDs。若要檢視成員帳戶清單，請叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API。

------
#### [ AWS CLI ]

**取消成員帳戶與組織的關聯**

從委派的管理員帳戶執行 [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) 命令。您必須提供要取消關聯的成員帳戶的 AWS 帳戶 IDs。若要檢視成員帳戶清單，請執行 [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) 命令。

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**範例**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 您也可以使用 AWS Organizations 主控台 AWS CLI或 AWS SDKs取消成員帳戶與組織的關聯。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[從您的組織移除成員帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)。