本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用 Security Hub
注意
Security Hub 處於預覽版本,可能會有所變更。
您可以為任何 啟用 Security Hub AWS 帳戶。本主題中的程序說明如何從 AWS 組織管理帳戶、委派管理員帳戶和獨立帳戶啟用 Security Hub。
為組織啟用 Security Hub
本節包含三個步驟。在步驟 1 中, AWS 組織管理帳戶會啟用 Security Hub、為其組織指定委派管理員,並建立委派管理員政策。在步驟 2 中,組織的委派管理員會啟用 Security Hub。在步驟 3 中,組織的委派管理員會建立政策,為組織中的所有成員帳戶啟用 Security Hub。
步驟 1. 在 AWS 組織管理帳戶中啟用 Security Hub
此步驟包含兩個程序。如果您啟用 Security Hub CSPM 並在 Security Hub CSPM 中指定委派管理員,則第一個程序說明如何啟用 Security Hub。如果您尚未啟用 Security Hub CSPM 並在 Security Hub CSPM 中指定委派管理員,第二個程序說明如何啟用 Security Hub。在這兩個程序中,如果您略過步驟來指定委派管理員,則必須略過步驟來建立委派管理員政策。您只能在指定委派管理員之後建立委派管理員政策。如需有關在 Security Hub 中指定委派管理員的資訊,請參閱在 Security Hub 中指定委派管理員帳戶。如需有關在 Security Hub 中建立委派管理員政策的資訊,請參閱在 Security Hub 中建立委派管理員政策。
啟用 Security Hub 之後,會在您的帳戶中建立稱為 AWSServiceRoleForSecurityHubV2 的服務連結角色,以及服務連結記錄器。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法,以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。如需詳細資訊,請參閱服務連結組態記錄器的考量。
步驟 2. 在委派管理員帳戶中啟用 Security Hub
此步驟供委派管理員完成。 AWS 組織管理帳戶為其組織指定委派管理員後,委派管理員必須啟用 Security Hub。
在委派管理員帳戶中啟用 Security Hub
-
使用您的委派管理員登入 AWS 資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home
的 Security Hub 主控台。 -
在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用。
-
選擇 啟用 。
-
(選用) 對於標籤,判斷是否要將鍵/值對新增至帳戶設定。
-
選擇移至 Security Hub。
啟用 Security Hub 後,會在您的帳戶中建立稱為 AWSServiceRoleForSecurityHubV2 的服務連結角色,以及服務連結記錄器。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法,以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。如需詳細資訊,請參閱服務連結組態記錄器的考量。
步驟 3。建立在所有成員帳戶中啟用 Security Hub 的政策
此步驟供委派管理員完成。組織的委派管理員啟用 Security Hub 後,必須建立政策,以定義組織中啟用和停用哪些成員帳戶。如需詳細資訊,請參閱建立政策做為委派管理員來管理成員帳戶。
在獨立帳戶中啟用 Security Hub
此程序說明如何在獨立帳戶中啟用 Security Hub。獨立帳戶是 AWS 帳戶 尚未啟用 AWS 組織的 。
在獨立帳戶中啟用 Security Hub
-
使用您的獨立 AWS 帳戶登入資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home
的 Security Hub 主控台。 -
在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用。
-
選擇 啟用 。
啟用 Security Hub 後,會在您的帳戶中建立稱為 AWSServiceRoleForSecurityHubV2 的服務連結角色,以及服務連結記錄器。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法,以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。如需詳細資訊,請參閱服務連結組態記錄器的考量。